1. 内网安全基础概念解析第一次接触内网安全时我被各种专业术语搞得晕头转向。直到有次参与企业内网渗透测试项目才真正理解这些概念的实际意义。内网Local Area Network就像是一个封闭的社区里面的设备可以自由互通但与外界隔离。这个社区有两种管理模式工作组和域环境。工作组模式特别像居民自治的小区每家每户自己管理自己的安全。我在测试中发现只要接入网络就能轻易访问其他工作组成员的共享资源。曾经遇到一个案例某公司财务部的工作组电脑因为弱密码导致工资表被内部员工随意查看。这种模式适合20人以下的小团队但超过这个规模就会显得杂乱无章。域环境则像配备了专业物业的高档小区。这里的物业就是域控制器Domain Controller它掌握着所有住户的钥匙。我常用这个类比向新人解释当你尝试登录域内电脑时系统会先向DC门卫核实你的身份。去年的一次渗透测试中我们就是通过伪造身份验证绕过了这个检查机制。活动目录Active Directory是域环境的灵魂所在。它像一本详细的住户花名册记录着所有用户、电脑和权限关系。有次客户要求检查AD安全性我们发现其组织结构竟然直接反映了公司部门架构这给攻击者提供了极大的便利。2. 信息收集实战技巧信息收集就像侦探破案前的线索梳理往往决定着后续渗透的成败。我习惯将收集工作分为四个维度网络拓扑、主机信息、用户数据和业务系统。网络拓扑侦察从最基础的ipconfig /all开始。这个命令不仅能看本机IP更重要的是DNS后缀信息。记得有次测试客户自以为隐藏很好的子域就因为DNS配置不当而暴露。进阶技巧是结合netstat -ano查看网络连接曾经通过这个发现了一台被遗漏的数据库服务器。主机信息收集我常用systeminfo配合wmic命令。有次在银行系统里wmic product get name,version这条命令帮我们发现了过期的防病毒软件成为后续攻击的突破口。对于服务枚举net start看似简单但配合tasklist查看进程能发现很多隐藏服务。用户数据收集是重头戏。我整理了个实用命令清单net user /domain # 枚举域用户 net group Domain Admins /domain # 定位域管理员 whoami /priv # 检查当前权限去年某次红队行动中我们就是通过net group Enterprise Admins /domain发现了过度授权的问题。业务系统识别需要更多手动操作。除了常规的端口扫描我习惯检查浏览器历史记录通过取证工具共享文件夹内容计划任务列表安装的第三方软件3. 域渗透核心工具详解说到内网渗透mimikatz绝对是绕不开的神器。这个法国人开发的小工具让我又爱又恨。爱的是它强大的凭证提取能力恨的是现在越来越多的防护软件都会重点盯防它。mimikatz的实战要点privilege::debug # 先提权 sekurlsa::logonpasswords # 提取内存密码 lsadump::sam # 获取SAM数据库记得有次在政府系统测试我们用它成功提取出域管理员的明文密码。但要注意新版Windows默认不再保存明文密码这时候就要配合其他工具了。Lazagne是我的秘密武器。这个开源工具支持50种应用的凭证提取从浏览器到邮件客户端无所不包。最惊艳的是它连WiFi密码都能挖出来laZagne.exe all # 扫描所有支持的模块上个月在某企业内网我们用它收集到了VPN凭证直接打通了通往核心区的通道。PowerShell Empire是进阶选择。它的优势在于无文件攻击直接内存运行。我常用的模块usemodule situational_awareness/network/powerview # 域信息收集 usemodule collection/webcam # 摄像头控制需权限不过现在很多EDR都能检测Empire的特征需要自己做代码混淆。4. 横向移动与权限提升真正的内网渗透高手都擅长借力打力。横向移动就是利用已控制的机器作为跳板逐步扩大战果。PTH攻击Pass the Hash是我最常用的技术。不需要知道明文密码只要有NTLM hash就能横行内网sekurlsa::pth /user:admin /domain:corp /ntlm:xxxxxx去年在某金融机构我们就是用这个方法从一台普通办公电脑逐步拿下了整个域。票据传递Golden Ticket更隐蔽。通过伪造Kerberos票据可以长期维持高权限kerberos::golden /user:fake /domain:xxx /sid:xxx /krbtgt:xxx /ptt这个技术的难点在于获取krbtgt账户的hash通常需要域管权限。权限提升的套路就更多了。我总结了几种常见场景服务配置不当通过sc qc检查服务权限计划任务漏洞schtasks /query查看任务组策略漏洞gpresult /h report.html分析策略有次在医疗机构我们发现某台服务器上的备份服务以SYSTEM权限运行通过替换备份脚本轻松提权。5. 域控攻防实战案例域控制器DC是整个内网的大脑拿下它就意味着控制了整个网络。但现代企业的DC防护越来越严密需要更精细的攻击手法。DCSync攻击是我近年常用的技术。它模拟域控制器间的同步行为直接拖取用户凭证lsadump::dcsync /domain:xxx /user:xxx这个攻击需要域管理员或特定权限但一旦成功危害极大。防御方法是严格控制具备复制权限的账户。NTLM中继在特定环境下效果惊人。我们曾利用打印机漏洞MS-RPRN触发DC认证然后中继到其他服务器ntlmrelayx.py -t ldap://dc01 --escalate-user这个案例后来被客户写进了安全培训教材。防御建议来自实战教训启用LSA保护防mimikatz限制域管理员登录范围监控异常复制请求定期轮换krbtgt密码最近遇到个有趣案例客户部署了全流量检测但忽略了DNS隧道。我们通过封装数据在DNS查询中成功绕过了所有防护。