内网渗透基础（一）：从信息收集到横向移动的实战指南

一、内网渗透的核心概念与风险认知

内网渗透（Internal Network Penetration）指攻击者通过突破边界防御后，在内网环境中横向移动、提权并获取敏感数据的过程。其核心风险在于：

1. 信任滥用：内网设备默认信任同一网段流量，攻击者可利用此特性伪装合法通信。
2. 横向扩散：单点突破后，可通过域控、共享凭证等快速控制整个内网。
3. 数据泄露：最终目标往往是核心业务系统或数据库，导致商业机密外泄。

典型案例：某金融企业因员工终端被钓鱼，攻击者通过内网扫描发现弱口令的运维终端，进而控制支付系统，造成千万级损失。

二、信息收集：构建内网攻击面地图

1. 主动扫描与被动监听

• 工具选择：
  • Nmap：端口扫描与服务识别（nmap -sV -p- 192.168.1.0/24）。
  • Masscan：高速全端口扫描（masscan 10.0.0.0/8 -p0-65535 --rate=10000）。
  • Wireshark：抓包分析协议特征（如SMB、LDAP流量）。
• 关键数据：
  • 开放端口（445/SMB、3389/RDP、5985/WinRM）。
  • 操作系统版本（通过TCP/IP栈指纹或HTTP头）。
  • 共享目录（net view \\192.168.1.100）。

2. 域环境信息挖掘

• 域控定位：
  • 通过nltest /dclist:域名获取域控IP。
  • 监听LDAP查询（端口389）解析域结构。
• 用户组策略：
  • 使用BloodHound可视化域内权限关系。
  • 导出组策略对象（GPO）配置（gpresult /r）。

3. 凭证收集与缓存破解

• 内存凭证提取：
  • Mimikatz：privilege::debug + sekurlsa::logonpasswords。
  • Procdump转储lsass进程后离线破解。
• 配置文件泄露：
  • 搜索.config、.keystore等文件（findstr /si /m "password=" *.xml）。
  • 浏览器保存的凭据（Chrome的Login Data数据库）。

三、漏洞利用：突破初始访问限制

1. 常见内网漏洞类型

• 永恒之蓝类：MS17-010（exploit/windows/smb/ms17_010_eternalblue）。
• Web应用漏洞：
  • 弱口令（如Tomcat默认管理口令admin:admin）。
  • 未授权访问（Jenkins、Redis等）。
• 中间件漏洞：
  • SharePoint远程代码执行（CVE-2019-0604）。
  • Exchange Server代理漏洞（ProxyLogon）。

2. 提权技术实践

• 系统级提权：
  • 打印服务漏洞（CVE-2020-1048）。
  • UAC绕过（fodhelper注册表劫持）。
• 域提权：
  • Kerberoasting攻击（请求SPN票据并离线破解）。
  • AS-REP Roasting（针对禁用预认证的用户）。

代码示例（Kerberoasting）：

# 使用Rubeus提取SPN票据
.\Rubeus.exe kerberoast /outfile:tickets.kirbi
# 使用Hashcat破解票据
hashcat -m 13100 -a 0 tickets.kirbi /path/to/wordlist.txt

四、横向移动：扩大控制范围

1. 凭据复用与协议利用

• Pass-the-Hash：
  • Mimikatz的sekurlsa::pth模块。
  • WMIC远程执行（wmic /node:192.168.1.100 process call create "calc.exe"）。
• WinRM/PSRemoting：
  • 启用远程管理（Enable-PSRemoting -Force）。
  • 使用Invoke-Command执行命令。

2. 域信任关系利用

• 跨域攻击：
  • 父域与子域间的信任票据传递。
  • 森林级信任下的资源访问。
• Golden Ticket：
  • 伪造域控的KRBTGT账户票据（mimikatz # kerberos::golden /domain:contoso.com /sid:S-1-5-21... /krbtgt:hash /user:admin /id:500）。

3. 后门持久化策略

• 计划任务：

  # 创建隐藏计划任务
  SchTasks /Create /TN "Microsoft\Windows\Update\Orchestrator\SecurityUpdate" /TR "C:\Windows\temp\backdoor.exe" /SC MINUTE /MO 30 /F

• 注册表自启动：
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。
  • HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。

五、防御体系构建建议

1. 最小权限原则：
   • 禁用默认管理员账户，实施JIT（Just-In-Time）权限管理。
2. 网络分段：
   • 使用VLAN划分敏感区域，限制横向流量。
3. 行为监控：
   • 部署EDR（端点检测与响应）系统，识别异常进程调用。
4. 定期审计：
   • 检查域内高权限账户的使用记录（Get-ADUser -Filter * -Properties LastLogonDate）。

六、总结与后续方向

内网渗透的核心在于信息驱动攻击，通过系统化的收集、利用和移动，逐步扩大控制范围。后续可深入探讨：

• 无文件攻击技术（如反射DLL注入）。
• 云环境内网渗透的特殊性（如AWS Metadata Service利用）。
• 攻击链自动化框架（如Cobalt Strike的C2配置）。

通过掌握基础流程与工具，安全团队可更高效地发现内网风险，而攻击者则需不断适应防御技术的演进。