s0m1ng

二进制学习中

内网横向0:基础概念及总体框架

发表于 分类于

基础概念:

什么是内网横向移动?

当你通过 Web 漏洞(比如传了个 WebShell,然后通过计划任务提权到了 SYSTEM)拿下了一台边界服务器,你会发现:

  1. 这台机器上根本没有你要找的 flag 或核心业务数据。

  2. 这台机器除了能连外网,它还有一张内网网卡(比如 192.168.50.10),连着几百台你原本访问不到的内部机器。

横向移动(Lateral Movement),就是以这台已经沦陷的边界机为跳板,通过窃取密码、搭建代理隧道、利用内网漏洞等手段,向内网深处的其他机器发起攻击,最终拿下整个网络的核心控制权(通常是域控制器 Domain Controller)。

横向前准备工作:

在进行横向移动前,先判断当前内网处于哪种架构中,这决定了你的打法:

工作组环境 (Workgroup)

  • 概念:机器之间是“平级”的,互不隶属。A 机器的管理员账号只能管 A,管不了 B。

  • 特点:密码各自独立。

域环境 (Domain / AD)

  • 概念:企业内网的标配。所有机器都归一个“中央大脑”管,这个大脑叫域控制器 (DC)

  • 特点:存在域账号。比如 Admin@ISW.local 这个账号,如果权限够大,登录内网里的任何一台机器都不需要重新建号。身份验证全部由域控(DC)负责颁发“票据(Ticket)”。

确定架构方法:

Win

1. 查询系统域配置 (通用)

1
systeminfo | findstr /i "Domain"

  • 解析:过滤系统基本配置中的域字段。

  • 结果

    • 输出 Domain: WORKGROUP ➡️ 工作组环境。战术转向:收集本地凭据,探测同网段独立主机。

    • 输出 Domain: <特定域名> (如 isw.local) ➡️ 域环境。战术转向:寻找域控 IP,窃取域账户凭据。

2. 查询工作站网络配置

1
net config workstation
  • 解析:输出当前计算机作为网络客户端的配置信息,提取 工作站域 字段。速度优于 systeminfo

Linux

1. 查看 Kerberos 认证配置 (通用)

1
cat /etc/krb5.conf
  • 结果:检索 [realms] 标签块。若存在具体的域名及 kdc = <IP> 配置,表明主机参与域认证,该 IP 极大概率为域控 IP。

2. 查询 AD 成员状态

1
realm list
  • 结果:输出 configured: kerberos-member 即为加域状态,可进一步搜寻 /etc/krb5.keytab 文件。

横向移动的标准流程:

  1. 域环境下流程:
    拿下跳板机 SYSTEM $\rightarrow$ 搭隧道(把ubuntu攻击机送进内网) $\rightarrow$ 抓密码/扫内网(查明架构) $\rightarrow$ 横向移动(打域控)

  2. 工作组环境:
    拿下跳板机 SYSTEM $\rightarrow$ 搭隧道(把ubuntu攻击机送进内网) $\rightarrow$ 抓密码/扫内网(查明架构) $\rightarrow$ 密码复用或者靠漏洞硬打

前三点是一样的,我们统一来说,只有最后一步有一点不一样

一、拿system

这个不说了,这个是属于linux/win提权章节的内容

二、隧道与代理概念 (Pivoting / Tunneling)

解决的问题:“把攻击机 (Ubuntu/Kali) 送进内网”

你打下的跳板机只有命令行,没法运行 Nmap、BurpSuite 这种大型工具。我们需要在跳板机上搭一个“路由器”,把我们攻击机的流量转发进内网。

三、内网信息收集 (Reconnaissance)

解决的问题:“我是谁?我在哪?周围有谁?域控在哪?”

进去内网第一件事是按流程化扫描,操作不当可能留下犯罪信息被抓

三、凭证窃取 (Credential Harvesting)

解决的问题:“我需要合法的密钥去连接下一台机器。”

在 Windows 体系里,管理员只要登录过这台机器,他的密码/哈希/票据就会残留在内存(LSASS)里。在SYSTEM 权限下能把它们全抓出来。

域环境四:横向击杀与执行 (Lateral Execution)

解决的问题:“拿到密码/漏洞了,怎么远程控制下一台机器?”

不要总想着弹 Shell,在内网里,用 Windows 自带的合法远程管理协议去执行命令,才是最免杀、最高级的打法。

这种情况我们的目标就是拿下域控 ,一旦拿下域控,导出所有人的密码哈希(ntds.dit),你就是这个内网的上帝,想登哪台登哪台。打法通常围绕着“票据伪造”、“哈希传递 (PtH)”、“委派攻击”展开。

工作组四:密码复用或打内核洞

通常靠密码复用(可能所有机器的 Administrator 密码都一样),或者利用 MS17-010(永恒之蓝)等通杀漏洞一台一台打过去。

总结渗透流程

  1. 环境探针:敲 systeminfo | findstr /i "Domain" 看看有没有域后缀(判断在不在域内)。

  2. 抓取密码:提权到 SYSTEM,立刻抓取本机的 NTLM Hash 和明文密码(因为这里面可能包含了刚刚登录过的域管密码,这叫“凭证提权”)。

  3. 建立据点:传一个 chiselfrp,打通你的 Ubuntu 到内网的 Socks5 隧道。

  4. 轻量刺探:挂上代理,用 fscan 轻量级扫描内网 B 段或 C 段,找 MS17-010 漏洞、找 Weblogic 弱口令、找域控 IP。

  5. 滚雪球:用抓到的密码去撞库(CrackMapExec),拿下一台新机器 -> 抓密码 -> 再撞库,直到拿到域管权限。

  6. 终局之战:导出域控上所有的密码(DCSync),完成清场。

您的支持将鼓励我继续创作!

欢迎关注我的其它发布渠道