本文共 9341 字，大约阅读时间需要 31 分钟。

内网渗透技术总结

内网渗透是一项复杂的安全攻防技术，涉及多种工具和方法。本文将从多个维度深入探讨内网渗透的关键流程、攻击手法以及相关工具的使用方法。

00 - 内网渗透流程

内网渗透通常从获取跳板机开始，攻击者首先需要通过网络探测工具（如nmap）扫描内网主机，识别存活的设备。随后，攻击者会利用这些信息，通过钓鱼邮件、社交工程等方式获取初始访问权限。成功获取跳板后，攻击者会进一步探测内网存活主机，提权、提取NTLM哈希值，进行横向移动，最终定位域控（DC）位置。

攻击者可能会尝试通过域管漏洞（如MS14-068）直接提权，或者伪造黄金票据。黄金票据通过获取域控管理员的权限可以被制作，攻击者可以利用这些票据绕过正常的认证流程，直接控制域控，进而接管整个内网环境。

01 - 黄金票据与白银票据

黄金票据是基于Kerbros认证协议伪造的TGT（票据授予票），攻击者需要掌握域名、域SID值、目标服务器的FQDN、域控KRBTGT账户的NTLM哈希值以及伪造的用户名。白银票据则是伪造的ST（服务票据），攻击者只需知道目标服务的NTLM哈希值即可伪造ST，绕过KDC的认证流程。

黄金票据和白银票据的主要区别在于获取的权限范围、认证流程以及加密方式。黄金票据权限更高，适用于域控级别的认证；白银票据适用于特定服务的访问。

02 - Kerberos协议攻击手法

Kerberos协议作为一种网络身份验证协议，广泛应用于企业级网络环境。常见的攻击手法包括：

用户名爆破：通过枚举用户名并尝试密码进行暴力破解。

密码喷洒与密码爆破：利用弱密码策略进行快速破解。

Kerberoasting：通过查询KDC获取用户的NTLM哈希值。

ASRepRoasting：伪造AS请求，获取域管账户的NTLM哈希值。

黄金票据与白银票据：利用伪造的票据绕过正常认证流程。

MS14-068漏洞：利用已知的安全漏洞直接提权。

约束委派与非约束委派：利用委派策略进行权限提升。

票据传递：通过票据传递工具（如ptt/ptk/ptc）进行权限维持。

Mimikatz加密降级攻击：通过恶意软件获取域管权限。

恶意Kerbros证书：伪造Kerbros证书进行权限维持。

03 - 黄金票据的条件要求

黄金票据的制作需要满足以下条件：

域名：获取域名的DNSRoot信息。

域SID值：获取域成员的SID值。

目标服务器的FQDN：目标服务器的完全限定域名。

可利用的服务：目标服务器需要有可利用的服务或端口。

KRBTGT账户NTLM哈希值：攻击者需要掌握域控KRBTGT账户的NTLM哈希值。

伪造用户名：攻击者需要知道目标用户名。

通过Mimikatz工具，攻击者可以提取KRBTGT账户的NTLM哈希值，并结合域控的信息，制作出有效的黄金票据。

04 - 横向连接方式

横向连接是内网渗透的关键环节，常用的方式包括：

IPC：利用共享文件夹进行文件传输。

Psexec/WMIC：通过远程控制工具执行命令。

WMI：利用Windows管理引导协议进行远程控制。

Schtasks/AT：通过计划任务执行远程命令。

WINRM：通过Windows远程管理协议进行通信。

这些工具可以帮助攻击者在内网中进行横向移动，获取更多的访问权限。

05 - 获取内网机器数量

获取内网机器数量可以通过以下方式实现：

命令行扫描：使用net user /domain命令查看域内用户。

网络扫描工具：利用nmap等工具对内网进行全面扫描，识别活跃的IP地址。

通过这些方法，攻击者可以快速掌握内网的主机数量及其基本信息。

06 - 内网环境不出网怎么办

在内网环境中保持匿名访问，可以通过以下方式实现：

Webshell代理：利用Webshell建立内网socket代理。

正向链接：通过直接IP连接访问内网资源。

SSH隧道：利用SSH隧道绕过防火墙。

协议绑定：根据具体协议（如DNS、TCP/UDP）设置代理规则。

这些方法可以帮助攻击者在不出网的情况下进行内网通信。

07 - Kerberos协议认证

Kerberos协议是一种强身份验证协议，主要通过秘钥加密技术为客户端和服务器提供安全认证。其认证流程涉及以下关键组件：

AS（身份验证服务）：负责接收客户端的认证请求并颁发TGT。

TGS（票据授予服务）：负责处理客户端的认证请求并颁发票据。

KDC（秘钥分发中心）：为客户端和服务提供加密密钥。

通过Kerberos协议，攻击者可以绕过传统的用户名密码认证，利用伪造的票据进行权限维持。

08 - Mimikatz工具使用方法

Mimikatz是一款强大的系统密码破解工具，主要功能包括：

破解哈希值：支持多种密码哈希算法的破解。

提权漏洞检测：在Meterpreter环境中，攻击者可以运行多种提权漏洞检测脚本。

远程控制：通过run post/multi/recon/local_exploit_suggester脚本进行提权。

攻击者需要提权到系统权限后，再通过Mimikatz工具进行进一步的攻击。

09 - 黄金票据制作要求

黄金票据的制作需要满足以下条件：

域名：获取域名的DNSRoot信息。

域SID值：获取域成员的SID值。

KRBTGT账户NTLM哈希值：攻击者需要掌握域控KRBTGT账户的NTLM哈希值。

伪造用户名：攻击者需要知道目标用户名。

通过这些信息，攻击者可以利用Mimikatz工具伪造有效的黄金票据，绕过正常的认证流程。

10 - 拿下边界机器如何内网渗透

边界机器是内网渗透的关键-entry点。攻击者可以通过以下方式获取边界机器的访问权限：

代理访问：使用代理工具（如reGeorg）访问内网资源。

Web漏洞利用：通过发现的Web漏洞进行横向渗透。

系统漏洞利用：利用已知的系统漏洞进行提权和权限扩展。

攻击者可以通过这些方法，获取边界机器的访问权限，并利用其作为内网的入口进行进一步的渗透。

11 - Windows/Linux操作命令

在Windows和Linux环境下，攻击者可以通过以下命令执行操作：

Windows

注册表编辑：通过regedit查看和修改注册表。

系统配置：通过msconfig查看系统配置。

任务管理器：通过taskmgr查看系统进程。

日志查看：通过eventvwr和msc查看系统日志。

组策略：通过Gpedit.msc查看本地组策略。

计算机管理：通过compmgmt.msc查看系统状态。

Linux

用户信息查看：通过cat /etc/passwd查看用户信息。

历史命令记录：通过history查看终端执行过的命令。

文件日志查看：通过tail -f查看实时日志。

进程查看：通过top查看系统进程状态。

登录日志查看：通过lastlog查看用户登录记录。

这些命令可以帮助攻击者快速获取目标系统的信息和权限。

12 - Linux提权方法

在Linux环境下，提权的常见方法包括：

UID提权：通过命令find / -perm -u=s -type f > /dev/null提权文件。

SUID提权：通过修改shell的SUID权限进行提权。

脏牛提权：通过将现有进程修改为SUID模式进行提权。

内核提权：通过修改内核参数进行权限提升。

环境劫持：通过修改环境变量进行权限维持。

CVE-2021-4034：利用已知的安全漏洞进行提权。

Docker提权：通过Docker容器提权到root权限。

这些方法可以帮助攻击者在Linux环境下进行权限提升。

13 - 权限维持

在内网渗透过程中，权限维持是非常重要的一环。攻击者可以通过以下方式维持权限：

Windows

注册表修改：通过修改注册表项（如自启动项、屏幕保护程序）进行权限维持。

文件劫持：通过修改文件关联或文件属性进行权限维持。

计划任务：通过计划任务（如schtasks、bitsadmin）进行权限维持。

WMI：通过WMI进行远程控制和权限维持。

Linux

预加载后门：通过修改ld.so加载预加载模块进行权限维持。

SSH后门：通过 SSH代理进行权限维持。

SUID后门：通过修改SUID权限进行权限维持。

inetd后门：通过inetd服务进行权限维持。

协议后门：通过协议绑定（如HTTP、HTTPS）进行权限维持。

这些方法可以帮助攻击者在长时间内维持对内网的访问权限。

14 - 拿到shell后如何接管域控

在内网渗透过程中，如果攻击者拿到了域管账户的访问权限，可以通过以下方式接管域控：

提权到域管权限：通过提权漏洞或伪造票据获取域管权限。

使用dcsync权限维持：通过dcsync工具进行权限维持。

利用adminsdhound工具：通过adminsdhound工具进行权限扩展。

修改机器账号权限：通过修改机器账号的用户Account位值进行权限维持。

这些方法可以帮助攻击者接管域控，进而控制整个内网环境。

15 - 内网渗透搭建隧道的攻击方式

内网渗透过程中，攻击者可以通过以下方式搭建隧道进行通信：

FRP：通过FRP协议进行隧道建立。

SSH：通过SSH协议进行隧道通信。

Neo-reGeorg：通过Neo-reGeorg工具进行隧道建立。

Netsh：通过Netsh命令进行隧道通信。

Lcx：通过Lcx工具进行隧道建立。

这些工具可以帮助攻击者在不直接暴露的情况下，建立内网与外网之间的通信隧道。

16 - 内网横向扩展方法

内网横向扩展是内网渗透的重要环节，攻击者可以通过以下方式进行扩展：

密码喷洒：利用弱密码策略进行扩展。

IPC$共享：通过IPC$共享进行文件传输。

WMI远程控制：利用WMI进行远程控制和权限获取。

Mimikatz工具：通过Mimikatz工具提权和获取权限。

MS14-068漏洞：利用已知的安全漏洞进行扩展。

Web漏洞利用：通过发现的Web漏洞进行横向扩展。

系统漏洞利用：利用已知的系统漏洞进行扩展。

这些方法可以帮助攻击者在内网中扩大攻击范围，获取更多的访问权限。

17 - KDC服务默认开放端口

KDC服务默认开放以下端口：

88：Kerberos协议的默认端口。

464：Kerberos密码变更端口（v5）。

攻击者可以通过这些端口进行Kerberos协议的通信和攻击。

18 - 桌面有管理员会话，想要劫持会话怎么做

在桌面环境下，攻击者可以通过以下方式劫持管理员会话：

提权到系统权限：通过提权漏洞或工具获取系统权限。

使用会话劫持工具：通过工具（如ps tool）劫持已登录用户的会话。

攻击者可以通过这些方法，劫持管理员的会话进行权限维持和内网渗透。

19 - 域内攻击方法

域内攻击可以通过以下方法实现：

MS14-068漏洞：利用已知的安全漏洞直接提权。

Roasting攻击：通过Roasting攻击离线爆破密码。

非约束性委派：利用非约束性委派进行权限提升。

基于资源的约束委派：利用基于资源的约束委派进行权限提升。

NTLM relay：通过NTLM relay攻击进行权限获取。

这些方法可以帮助攻击者在域内进行权限提升和内网渗透。

20 - 抓取密码的方法

在内网渗透过程中，攻击者可以通过以下方式抓取密码：

procdump+mimikatz：通过procdump工具转储进程中的密码，并通过Mimikatz工具进行离线读取。

Sam获取：通过获取SAM数据库中的密码哈希值进行离线读取。

攻击者需要掌握相关工具和技术，才能成功抓取目标系统的密码。

21 - 突破Windows Server 2012及更高版本的困难

在Windows Server 2012及更高版本中，攻击者可能会遇到以下问题：

无法直接抓取密码：由于系统对密码存储方式进行了加密，攻击者无法直接通过procdump抓取明文密码。

需要翻阅文件和日志：攻击者需要通过分析系统文件和日志来获取相关信息。

在这种情况下，攻击者可以通过以下方式进行应对：

使用Hash传递：通过获取Hash值并进行Hash传递攻击。

利用浏览器账号密码：通过浏览器中的账号密码进行内网渗透。

22 - Psexec与WMIC的区别

Psexec和WMIC是两种常用的远程控制工具，但它们在使用场景和特性上存在显著差异：

日志记录：Psexec会记录大量日志，而WMIC则不会记录日志。

隐蔽性：WMIC更加隐蔽，不容易被防火墙和入侵检测系统发现。

攻击者可以根据具体需求选择使用Psexec或WMIC工具进行远程控制。

23 - 横向渗透命令执行手段

在内网渗透过程中，攻击者可以通过以下方式执行横向移动命令：

Psexec：通过Psexec工具执行远程命令。

WMIC：通过WMIC命令进行远程控制。

SMBexec：通过SMB协议进行远程文件传输和命令执行。

WinRM：通过Windows远程管理协议进行远程控制。

Net use共享：通过共享文件夹和计划任务进行远程命令执行。

这些手段可以帮助攻击者在内网中进行横向移动，获取更多的访问权限。

24 - 内网白名单突破方法

内网的白名单通常用于限制不允许的网络连接。但攻击者可以通过以下方式突破白名单：

利用已在白名单中的软件：通过已在白名单中的软件执行后门代码。

白名单污染：通过修改白名单中的规则进行绕过。

暴力破解白名单防护软件：通过暴力破解白名单防护软件的密码或令牌。

这些方法可以帮助攻击者突破内网的白名单防护，进行进一步的内网渗透。

25 - 内网135端口的利用方式

内网135端口通常用于Windows网络环境中的WMI远程控制服务。攻击者可以通过以下方式利用这一端口进行横向移动：

用户名爆破：通过枚举用户名并尝试密码进行暴力破解。

WMIC远程控制：通过WMIC命令进行远程控制和权限获取。

这些方法可以帮助攻击者利用内网135端口进行横向移动和权限提升。

26 - 域控定位方法

在内网环境中，域控定位是关键环节。攻击者可以通过以下方式定位域控机器：

CMD命令：通过net group "Domain controllers" /Domain命令查询域控。

时间命令：通过net time /domain命令查看域控时间。

DNS解析记录：通过nslookup -type=all _ldap._tcp.dc._msdcs.tubai.com命令解析DNS记录。

端口扫描：通过扫描内网中同时开放389、636和53端口的机器。

SPN扫描：通过扫描隐蔽的SPN端口进行域控定位。

这些方法可以帮助攻击者快速定位到域控机器。

27 - 域管定位方法

在内网环境中，域管定位也是关键环节。攻击者可以通过以下方式定位域管：

CMD命令：通过net group "Domain Admins" /domain命令查询域管理员。

工具使用：通过工具（如PSLoggedon.exe、PVefindAdUser.exe、PowerView.ps1）进行域管定位。

这些方法可以帮助攻击者快速定位到域管账户，进而获取更高的权限。

28 - Mimikatz从哪个进程抓hash

Mimikatz工具可以从以下进程中抓取NTLM哈希值：

lsass.exe：lsass.exe是存储本地安全策略的进程，通常用于抓取域管账户的NTLM哈希值。

攻击者可以通过运行以下命令在Mimikatz中抓取哈希值：

lsass.exe

29 - Windows Server 2012无法破解hash怎么上桌面

在Windows Server 2012及更高版本中，由于安全加固，直接破解哈希值可能会受到限制。攻击者可以通过以下方式上桌面：

Hash传递：通过获取Hash值并进行Hash传递攻击。

利用浏览器账号密码：通过浏览器中的账号密码进行内网渗透。

攻击者需要结合具体情况，选择适合的攻击手法进行上桌面。

30 - 正向与反向Shell

在内网渗透过程中，攻击者可以通过以下方式建立Shell：

正向Shell：攻击者连接到被攻击者机器，常用于攻击者处于内网，被攻击者处于公网的情况。

反向Shell：被攻击者主动连接到攻击者，常用于攻击者处于外网，被攻击者处于内网的情况。

这些Shell可以帮助攻击者进行进一步的内网渗透和权限扩展。

31 - 入侵Linux服务器后需要清除哪些日志

在入侵Linux服务器后，攻击者需要清除以下日志：

Web日志：如Apache的access.log和error.log。

历史命令记录：通过清除~/.bash_history文件。

wtmp日志：通过删除/var/log/wtmp文件。

登录日志：通过清除/var/log/secure文件。

攻击者可以通过这些方法清除目标服务器的日志，避免留下攻击痕迹。

32 - Windows提权的若干办法

在Windows环境下，提权的常见方法包括：

系统漏洞提权：通过已知的系统漏洞补丁（如KB2592799、KB3000061）进行提权。

Webshell提权：通过Webshell上传并执行提权木马。

SC命令提权：通过sc Create syscmd binPath="cmd /K start"命令创建系统命令环境。

不带引号的服务路径：通过创建带空格的文件名，绕过路径解析规则。

不安全的服务权限提升：通过修改服务权限，增加攻击面。

绕过UAC：通过绕过用户访问控制（UAC）进行权限提升。

这些方法可以帮助攻击者在Windows环境下进行权限提升。

33 - 内网渗透常用工具

内网渗透过程中，攻击者通常会使用以下工具：

Webshell：用于上传木马和代理工具。

reGeorg：用于内网隧道建立和代理配置。

Mimikatz：用于提权和破解密码。

nmap：用于内网主机和漏洞扫描。

procdump：用于抓取系统密码。

Psexec/WMIC：用于远程控制和命令执行。

这些工具是内网渗透的核心组合，攻击者需要熟练掌握它们的使用方法。

34 - 内网横向渗透攻击技巧

在内网横向渗透过程中，攻击者可以通过以下技巧进行扩展：

漏洞扫描：利用nmap、nessus等工具扫描内网漏洞。

Web漏洞利用：通过发现的Web漏洞进行攻击。

弱口令探测：通过弱口令工具（如Bruter、Hydra）进行攻击。

ARP探测：通过ARP探测获取内网密码。

域控攻击：利用MS14-068漏洞或黄金票据接管域控。

票据传递：通过票据传递工具进行权限维持。

这些技巧可以帮助攻击者在内网中扩大攻击范围，获取更多的访问权限。

35 - Windows cmd下载文件

在Windows环境下，攻击者可以通过以下方式下载文件：

certutil.exe：用于下载证书和发布文件。

Powershell：通过脚本下载文件。

bitsadmin：用于下载大文件。

VBS脚本：通过脚本下载文件。

FTP：通过FTP协议下载文件。

这些工具可以帮助攻击者在Windows环境下下载所需的文件和工具。

36 - 隐藏渗透痕迹

在内网渗透过程中，攻击者需要隐藏自己的行迹，避免被发现。可以通过以下方式实现：

跳板机：使用匿名代理进行通信。

日志清除：通过定向清除日志文件。

文件擦除：通过删除或覆盖相关文件。

账号清理：通过删除或禁用相关账号。

这些方法可以帮助攻击者在内网中隐藏自己的渗透行为。

37 - MySQL如何拿Webshell

MySQL作为常见的Web服务，攻击者可以通过以下方式获取Webshell：

注入攻击：通过发现的SQL注入漏洞进行攻击。

文件包含：通过上传恶意PHP文件并执行。

命令执行：通过发现的命令执行漏洞进行攻击。

攻击者需要结合具体的Web应用漏洞，选择合适的手段获取Webshell。

38 - Hash与NTLM hash的区别

Hash和NTLM hash虽然都是用于Kerbros认证的加密参数，但两者存在以下主要区别：

加密算法：Hash是通过MD4加密明文口令生成的16位十六进制数字串；NTLM hash则是将明文口令转换为Unicode字符串后进行MD4加密。

使用场景：Hash用于生成初始票据（TGT），而NTLM hash用于伪造票据（ST）。

39 - 内网信息收集技术

在内网信息收集过程中，攻击者可以通过以下方式收集主机和域内信息：

主机信息收集

网络配置：通过ipconfig /all命令查看网络配置。

操作系统信息：通过systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本"命令查看操作系统信息。

服务信息：通过wmic /namespace:\root\securitycenter2 path antivirusproduct GET DisplayName,productState, pathToSignedProductExe命令查看服务信息。

用户列表：通过net user命令查看用户列表。

本地管理员信息：通过net localgroup administrators命令查看本地管理员信息。

端口信息：通过netstat –ano命令查看端口信息。

补丁信息：通过wmic qfe get Caption,Description,HotFixID,InstalledOn命令查看补丁信息。

防火墙配置：通过netsh firewall show config命令查看防火墙配置。

域内信息收集

域使用情况：通过ipconfig /all命令查看网关IP地址和DNS IP地址，判断当前主机是否在域内。

域信息查询：通过nslookup -type=all _ldap._tcp.dc._msdcs.tubai.com命令解析域名，定位域控。

域主机查询：通过net view /domain:XXX命令查询域内主机。

域用户查询：通过net group /domain命令查询域用户。

域控查询：通过net time /domain和net group "Domain controllers" /domain命令查询域控。

域管理员查询：通过net group "Domain Admins" /domain命令查询域管理员。

域SID信息：通过whoami /all命令查看域成员的SID值。

通过这些方法，攻击者可以全面收集内网的主机和域内信息，进行精准的渗透。

总结

内网渗透是一项复杂且技术要求高的安全攻防技术，需要攻击者具备全面的知识和技能。在实际操作中，攻击者需要根据具体情况选择合适的手段和工具，避免被防火墙、日志清理和安全工具检测到。同时，攻击者还需注意隐藏渗透痕迹，确保长时间的权限维持和内网控制。