内网渗透是网络安全渗透测试

石像鬼₧魂石2025-12-19 18:04

内网渗透是网络安全渗透测试的核心环节之一,指在已突破外网边界 (如拿下 Web 服务器、外网主机权限)后,对内部网络进行横向移动、权限提升、信息收集、持久化控制的一系列操作。其知识体系涵盖基础理论、核心技术、工具使用、防御思路四大板块,具体分类如下:

一、 内网渗透基础理论

  1. 内网拓扑与协议认知
    • 内网常见架构:域环境(Windows AD)、工作组环境、混合云环境(内网 + 云服务器)。
    • 核心协议:
      • TCP/IP 协议簇(ARP、ICMP、TCP、UDP):用于内网主机通信和探测。
      • SMB 协议(445 端口):Windows 文件共享、远程执行的核心协议,永恒之蓝(MS17-010)漏洞的载体。
      • LDAP 协议(389 端口):域环境中用户、计算机、组信息的查询协议。
      • Kerberos 协议(88 端口):域环境的身份认证协议,是黄金票据、白银票据攻击的基础。
      • RPC 协议(135 端口):远程过程调用,用于 Windows 远程管理。
  2. 权限与身份体系
    • Windows 权限:普通用户、管理员(Administrator)、SYSTEM 权限(系统最高权限)。
    • 域权限:域用户、域管理员(Domain Admin)、企业管理员(Enterprise Admin)、域控制器(DC)权限。
    • Linux 权限:UID=0(root)、普通用户、sudo 权限。
  3. 渗透测试准则与法律边界
    • 必须获得书面授权,明确测试范围、时间、目标,禁止未经授权的渗透行为。
    • 遵守《网络安全法》《数据安全法》等相关法律法规。

二、 内网渗透核心技术流程

内网渗透的标准流程遵循 "信息收集 → 横向移动 → 权限提升 → 持久化 → 数据提取 → 痕迹清理" 六步走。

1. 内网信息收集(核心前置步骤)

目标是摸清内网 "家底",包括主机存活情况、开放端口、服务版本、用户信息、域环境信息等。

  • 主机探测
    • 主动探测:ping 扫描、arp-scan(ARP 扫描,适合内网段)、fping(批量存活主机探测)。
    • 被动探测:监听内网 ARP 包、DNS 请求,识别存活主机。
  • 端口与服务扫描
    • 工具:nmap(经典端口扫描,支持-sS半开扫描、-sV版本探测)、masscan(高速端口扫描)。
    • 重点关注端口:135(RPC)、139(NetBIOS)、445(SMB)、389(LDAP)、5985(WinRM)、22(SSH)、3389(RDP)。
  • 域环境信息收集(关键)
    • 判断是否存在域:ipconfig /all(查看 DNS 后缀)、net config workstation(Windows)。
    • 查询域控制器:nltest /dclist:域名dsquery server(域内执行)。
    • 查询域用户 / 组:net user /domain(域用户)、net group "Domain Admins" /domain(域管理员组)。
    • 工具:BloodHound(可视化域内权限关系,识别域内 "最短攻击路径")。
  • 主机详细信息收集
    • Windows:systeminfo(系统版本、补丁)、tasklist(进程)、netstat -ano(网络连接)、reg query(注册表信息)。
    • Linux:uname -a(系统版本)、ps -ef(进程)、cat /etc/passwd(用户)、cat /etc/shadow(密码哈希,需 root 权限)。
2. 横向移动(内网渗透核心)

目标是从已控制的 "跳板机",向其他内网主机扩散权限。核心思路是利用凭证或漏洞访问其他主机。

  • 凭证传递攻击(Pass The ...,内网最常用)
    • Pass The Hash(PTH,哈希传递) :无需明文密码,直接使用 Windows 用户的 NTLM 哈希值登录其他主机(需开启 SMB 或 RDP 服务)。
      • 工具:mimikatzsekurlsa::pth 命令)、Impacket 工具集(psexec.pywmiexec.py)。
    • Pass The Ticket(PTT,票据传递) :利用 Kerberos 票据进行身份认证,无需哈希,适合域环境。
      • 工具:mimikatzkerberos::ptt 命令)、Rubeus(Kerberos 票据管理工具)。
    • Pass The Password(PTP,密码传递):使用明文密码登录多台主机,适合弱密码场景。
  • 漏洞利用横向移动
    • Windows 漏洞:MS17-010(永恒之蓝,SMB 漏洞)、CVE-2021-34527(PrintNightmare,打印服务权限提升 + 远程执行)、CVE-2022-26923(AD CS 权限提升)。
    • Linux 漏洞:Dirty COW(脏牛,权限提升)、OpenSSH 漏洞(如 CVE-2021-41617)。
    • 工具:Metasploit(exploit 模块)、searchsploit(漏洞利用代码查询)。
  • 远程服务横向移动
    • Windows:利用 WMI(wmiexec.py)、WinRM(evil-winrm)、PSEXEC(psexec.exe)、RDP(远程桌面,需开启 3389 端口)。
    • Linux:利用 SSH(密钥或密码登录)、SCP(文件传输)、Rsync(同步服务漏洞)。
3. 权限提升(提权)

目标是将当前用户权限提升至系统最高权限(Windows SYSTEM / 域管理员,Linux root)。

  • Windows 提权
    • 系统漏洞提权:利用未打补丁的漏洞,如 MS16-032(权限提升)、CVE-2021-34527。
    • 服务提权:利用配置错误的服务(如权限过高的服务可被修改为恶意二进制文件)。
    • 计划任务提权:创建高权限计划任务,执行恶意脚本。
    • 工具wesng(Windows 漏洞扫描,基于系统补丁信息)、PrivescCheck(提权检查脚本)。
  • Linux 提权
    • 内核漏洞提权:如 Dirty COW、CVE-2022-0847(Dirty Pipe)。
    • sudo 提权 :利用sudo -l 查看可执行的高权限命令,通过命令参数漏洞提权(如sudo vim 可执行!/bin/sh获取 root)。
    • SUID 提权 :查找系统中设置 SUID 位的文件(find / -perm -u+s -type f 2>/dev/null),利用其漏洞执行命令。
    • 工具LinPEAS(Linux 提权扫描脚本)、LinEnum
4. 持久化控制

目标是在目标主机 / 域中留下后门,即使当前会话断开,也能重新获取权限。

  • Windows 持久化
    • 创建隐藏管理员账户net user 隐藏账户 密码 /add && net localgroup administrators 隐藏账户 /add
    • 注册表持久化 :修改注册表启动项(HKLM\Software\Microsoft\Windows\CurrentVersion\Run)。
    • 计划任务持久化 :创建定期执行的恶意计划任务(schtasks命令)。
    • 后门持久化 :安装Meterpreter后门、Empire代理、Cobalt Strike Beacon
  • Linux 持久化
    • SSH 密钥持久化 :将公钥写入目标主机~/.ssh/authorized_keys,实现无密码登录。
    • crontab 计划任务:添加定时执行的恶意脚本。
    • rootkit 植入:修改系统内核,隐藏后门进程和文件。
  • 域环境持久化
    • 黄金票据:伪造 Kerberos TGT 票据,利用域管理员哈希生成,可长期控制域。
    • 白银票据:伪造特定服务的 Kerberos 票据,权限范围小于黄金票据。
    • DCShadow 攻击:模拟域控制器,篡改域内用户信息。
5. 数据提取与痕迹清理
  • 数据提取 :收集敏感数据(如域内用户哈希、数据库密码、业务数据),工具:mimikatz(提取密码哈希)、LaZagne(提取各类应用密码)、rclone(云存储数据同步)。
  • 痕迹清理 :删除日志文件,清除操作记录,避免被管理员发现。
    • Windows:清理事件日志(wevtutil cl 命令)、删除文件访问记录。
    • Linux:清理/var/log/auth.log(SSH 登录日志)、history命令历史记录。

三、 内网渗透核心工具

工具类型 代表工具 核心用途
信息收集 nmap、arp-scan、BloodHound 端口扫描、域权限可视化
凭证提取 mimikatz、LaZagne 提取 Windows 密码哈希、应用密码
横向移动 Impacket 工具集、evil-winrm SMB/WMI/WinRM 远程执行
漏洞利用 Metasploit、searchsploit 漏洞利用模块、EXP 查询
权限提升 PrivescCheck、LinPEAS Windows/Linux 提权扫描
持久化 Cobalt Strike、Empire 远控后门、域渗透协同

四、 内网渗透防御思路

  1. 基础防护
    • 定期打补丁,关闭无用端口和服务(如 135、139、445 非必要时禁用)。
    • 启用强密码策略,禁止域内用户密码复用,定期更换密码。
    • 限制管理员权限,避免使用域管理员账户登录普通主机。
  2. 监控与审计
    • 监控内网异常行为:如大量 ARP 扫描、445 端口异常访问、Kerberos 票据伪造。
    • 开启日志审计,定期检查 Windows 事件日志、Linux 系统日志。
    • 使用 EDR(终端检测与响应)工具,检测恶意进程和后门。
  3. 域环境防护
    • 部署域控制器审计策略,监控域管理员操作。
    • 禁用 NTLM 认证,强制使用 Kerberos 认证,降低 PTH 攻击风险。
    • 定期使用 BloodHound 排查域内权限漏洞。
相关推荐
用户962377954486 分钟前
DVWA 靶场实验报告 (High Level)
安全
数据智能老司机3 小时前
用于进攻性网络安全的智能体 AI——在 n8n 中构建你的第一个 AI 工作流
人工智能·安全·agent
数据智能老司机3 小时前
用于进攻性网络安全的智能体 AI——智能体 AI 入门
人工智能·安全·agent
用户962377954485 小时前
DVWA 靶场实验报告 (Medium Level)
安全
red1giant_star5 小时前
S2-067 漏洞复现:Struts2 S2-067 文件上传路径穿越漏洞
安全
用户962377954488 小时前
DVWA Weak Session IDs High 的 Cookie dvwaSession 为什么刷新不出来?
安全
cipher2 天前
ERC-4626 通胀攻击:DeFi 金库的"捐款陷阱"
前端·后端·安全
一次旅行5 天前
网络安全总结
安全·web安全
red1giant_star5 天前
手把手教你用Vulhub复现ecshop collection_list-sqli漏洞(附完整POC)
安全
ZeroNews内网穿透5 天前
谷歌封杀OpenClaw背后:本地部署或是出路
运维·服务器·数据库·安全
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03OpenClaw + 飞书(Feishu)环境搭建指南04Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services05Clawdbot部署教程:解决‘gateway token missing’授权问题的完整步骤06OpenClaw优化飞书API 额度已耗尽问题07【OpenClaw 本地实战 Ep.3】突破瓶颈:强制修改 openclaw.json 解锁 32k 上下文记忆08小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)09Window 10部署openclaw报错node.exe : npm error code 12810OpenClaw大龙虾机器人完整安装教程