内网横向-工作流
一、信息收集阶段
| 操作 | 工具 / 命令 | 说明 |
| 系统基础信息采集 | systeminfo、whoami /user | 查看系统版本、用户 SID 等 |
| 域内用户 / 组查询 | net user /domain、net group "domain admins" /domain | 列出域用户及管理员组 |
| 域控及网络结构探测 | nltest /dsgetdc、ipconfig /all | 获取域控 IP、网络配置 |
| 内网资产扫描 | fscan、kscan、nmap | 扫描端口、服务及漏洞(如 MS17-010) |
| 配置文件搜索 | find / -name "*.properties" | 查找含数据库密码的配置文件 |
二、凭证获取阶段
| 操作 | 工具 / 命令 | 说明 |
| 内存密码抓取 | mimikatz # sekurlsa::logonpasswords | 提取 NTLM 哈希 / 明文密码 |
| 浏览器密码导出 | SharpWeb、HackBrowserData | 导出 Chrome/Firefox 保存的凭证 |
| 数据库密码收集 | 配置文件解析工具 | 从.yml/.ini中提取数据库密码 |
| 哈希传递攻击(PTH) | psexec.py -hashes、mimikatz | 使用 NTLM 哈希模拟登录 |
| 密钥传递攻击(PTK) | mimikatz # sekurlsa::ekeys | 导出 AES 密钥用于高权限认证 |
三、横向移动阶段
| 操作 | 工具 / 命令 | 说明 |
| 漏洞利用(SMB 协议) | ms17-010.exe、永恒之蓝EXP | 利用 MS17-010 漏洞获取系统权限 |
| 票据传递攻击(PTT) | ms14-068.exe + mimikatz | 伪造 Kerberos 票据提升至域管理员 |
| 远程服务创建 | psexec、smbexec、Impacket | 通过 SMB 协议远程执行命令 |
| WMI/DCOM 无文件攻击 | wmiexec.py、dcomexec.py | 利用 Windows 管理接口远程执行 |
| 计划任务执行 | atexec、schtasks | 创建计划任务触发恶意程序 |
四、权限维持阶段
| 操作 | 工具 / 命令 | 说明 |
| 后门账户创建 | net user backdoor /add | 添加域管理员账户 |
| 注册表自启项植入 | reg add HKLM\Run | 设置恶意程序开机自启 |
| 黄金票据 / 白银票据生成 | mimikatz # kerberos::golden | 伪造持久化 Kerberos 票据 |
| 组策略(GPO)渗透 | GPO 部署脚本 | 通过域策略分发恶意软件 |
| 域控哈希导出 | secretsdump.py、mimikatz # lsadump::dcsync | 导出域内所有用户哈希 |
五、防御绕过阶段
| 操作 | 工具 / 命令 | 说明 |
| 流量混淆与代理 | proxychains、加密隧道 | 通过代理隐藏真实 IP |
| 工具免杀处理 | garble、UPX | 混淆 Go 语言工具或压缩二进制文件 |
| 合法协议伪装 | httpx、curl | 通过 HTTP/HTTPS 封装攻击流量 |
| 低噪音扫描 | 自定义参数的fscan(如-np -nobr) | 减少扫描特征避免被 HIDS 检测 |
关键工具速查表
| 工具名称 | 核心功能 |
| mimikatz | 密码抓取、票据伪造(PTH/PTT/PTK)、权限提升 |
| Impacket 套件 | 含psexec.py/wmiexec.py等横向移动工具 |
| fscan/kscan | 内网资产扫描、漏洞检测(MS17-010、弱口令) |
| MS14-068.exe | 利用 Kerberos 漏洞伪造票据,提升域权限 |
| secretsdump.py | 导出域控用户哈希,支持 DCSync 攻击 |