记某次HVV:通过windows特性获取内网权限
字数 1194 2025-08-18 11:36:36

Windows特性获取内网权限渗透教学文档

1. 渗透流程概述

本次HVV行动展示了从外部打点到内网横向移动的完整流程:

  1. 外部打点获取初始入口
  2. 利用Windows特性获取命令执行窗口
  3. 本地密码收集提升权限
  4. 内网横向移动
  5. 控制关键服务器实现全域控制

2. 初始入口获取

2.1 目标识别

  • 目标系统:老版本某维服务器(经典界面)
  • 已知漏洞:信息泄露、SQL注入等(已有公开研究)

2.2 弱口令利用

  • 尝试常见弱口令组合:admin/admin
  • 成功登录后台获取系统级权限

3. Windows特性利用技巧

3.1 场景分析

  • 后台存在财务软件客户端(常见于实战)
  • 财务软件同样存在弱口令

3.2 "Shift+右键"技术

  1. 登录财务软件客户端(标准Windows平台框架)
  2. 寻找文件上传/下载功能
  3. 在文件浏览器界面:
    • 按住Shift键
    • 右键点击空白处
    • 选择"在此处打开命令窗口"或"打开PowerShell窗口"
  4. 获取系统命令执行权限

4. 权限提升与信息收集

4.1 获取初始Shell后操作

  1. 上传mimikatz工具
  2. 抓取系统明文密码: 
    mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" exit

4.2 网络发现

  • 使用arp扫描或内网扫描工具发现其他主机
  • 示例命令: 
    arp -a
net view

5. 内网横向移动

5.1 密码重用攻击

  • 使用获取的明文密码尝试登录其他系统
  • 重点关注:
    • 人力资源管理系统
    • 安全监控平台
    • 云服务器

5.2 浏览器密码收集

  1. 定位浏览器密码存储位置:
    • Chrome: %LocalAppData%\Google\Chrome\User Data\Default\Login Data
    • Edge: %LocalAppData%\Microsoft\Edge\User Data\Default\Login Data
  2. 使用工具提取保存的密码

5.3 云服务器控制

  • 获取云服务器超级管理员权限
  • 通过云控制台管理内网所有服务器

6. 关键注意事项

  1. 权限维持:

    • 创建隐藏账户
    • 设置计划任务持久化

  2. 痕迹清理:

    • 清除事件日志
    • 删除上传的工具

  3. 规避检测:

    • 使用合法系统工具(如certutil)传输文件
    • 限制扫描频率

7. 防御建议

  1. 账户安全:

    • 禁用默认账户或修改默认密码
    • 实施强密码策略
    • 启用多因素认证

  2. 系统加固:

    • 禁用不必要的Windows特性
    • 限制命令执行权限
    • 定期更新补丁

  3. 监控措施:

    • 监控异常登录行为
    • 设置敏感操作告警
    • 定期审计权限分配

  4. 客户端安全:

    • 财务软件等客户端实施权限控制
    • 禁用Shift+右键等快捷键组合

  5. 内网防护:

    • 实施网络分段
    • 限制横向移动路径
    • 关键系统独立认证

8. 工具清单

  1. 信息收集:

    • arp, netstat, net view

  2. 权限提升:

    • mimikatz
    • Lazagne(浏览器密码提取)

  3. 横向移动:

    • psexec
    • wmiexec

  4. 扫描工具:

    • Nmap
    • Masscan(外网扫描)

  5. 文件传输:

    • certutil
    • bitsadmin
Windows特性获取内网权限渗透教学文档 1. 渗透流程概述 本次HVV行动展示了从外部打点到内网横向移动的完整流程: 外部打点获取初始入口 利用Windows特性获取命令执行窗口 本地密码收集提升权限 内网横向移动 控制关键服务器实现全域控制 2. 初始入口获取 2.1 目标识别 目标系统:老版本某维服务器(经典界面) 已知漏洞:信息泄露、SQL注入等(已有公开研究) 2.2 弱口令利用 尝试常见弱口令组合:admin/admin 成功登录后台获取系统级权限 3. Windows特性利用技巧 3.1 场景分析 后台存在财务软件客户端(常见于实战) 财务软件同样存在弱口令 3.2 "Shift+右键"技术 登录财务软件客户端(标准Windows平台框架) 寻找文件上传/下载功能 在文件浏览器界面: 按住Shift键 右键点击空白处 选择"在此处打开命令窗口"或"打开PowerShell窗口" 获取系统命令执行权限 4. 权限提升与信息收集 4.1 获取初始Shell后操作 上传mimikatz工具 抓取系统明文密码: 4.2 网络发现 使用arp扫描或内网扫描工具发现其他主机 示例命令: 5. 内网横向移动 5.1 密码重用攻击 使用获取的明文密码尝试登录其他系统 重点关注: 人力资源管理系统 安全监控平台 云服务器 5.2 浏览器密码收集 定位浏览器密码存储位置: Chrome: %LocalAppData%\Google\Chrome\User Data\Default\Login Data Edge: %LocalAppData%\Microsoft\Edge\User Data\Default\Login Data 使用工具提取保存的密码 5.3 云服务器控制 获取云服务器超级管理员权限 通过云控制台管理内网所有服务器 6. 关键注意事项 权限维持: 创建隐藏账户 设置计划任务持久化 痕迹清理: 清除事件日志 删除上传的工具 规避检测: 使用合法系统工具(如certutil)传输文件 限制扫描频率 7. 防御建议 账户安全: 禁用默认账户或修改默认密码 实施强密码策略 启用多因素认证 系统加固: 禁用不必要的Windows特性 限制命令执行权限 定期更新补丁 监控措施: 监控异常登录行为 设置敏感操作告警 定期审计权限分配 客户端安全: 财务软件等客户端实施权限控制 禁用Shift+右键等快捷键组合 内网防护: 实施网络分段 限制横向移动路径 关键系统独立认证 8. 工具清单 信息收集: arp, netstat, net view 权限提升: mimikatz Lazagne(浏览器密码提取) 横向移动: psexec wmiexec 扫描工具: Nmap Masscan(外网扫描) 文件传输: certutil bitsadmin