作为 IT 从业者,你应该知道,技术栈的学习不能是散乱的点,而必须是线 和面。内网渗透的学习框架,我建议按照 **"五维金字塔"** 模型来构建。
这不仅仅是罗列工具,而是按照攻击链路的生命周期来划分的。你可以把这个框架保存下来,每掌握一项,就打一个勾。
第一层:前置与基础(地基)
目标:解决 "我在哪" 和 "我怎么说话" 的问题。
- 网络基础(重理解) :
- 子网划分与路由:理解 A/B/C 类地址,VLAN,以及内网中不同网段是如何通信的(路由表)。
- 常用协议:TCP/IP 三次握手,HTTP/HTTPS,DNS,ICMP。
- Windows 系统底层:进程与线程、服务、注册表(特别是启动项)、WMI、DLL 注入原理。
- Linux 基础 :
- 基本命令(ls, ps, netstat, chmod, grep)。
- 文件权限与 SUID/SGID 提权原理。
/etc/passwd与/etc/shadow结构。
- 编程语言(二选一精通) :
- Python:编写 POC/EXP,处理数据,自动化脚本。
- PowerShell :内网渗透必须精通。它是 Windows 内网的瑞士军刀,无文件攻击的核心。
第二层:信息收集与内网侦察(地图绘制)
目标:在内网中 "看清" 地形,找到高价值目标。
- 内网探测 :
- 存活探测:ICMP (Ping), ARP 扫描 (Netdiscover), TCP SYN 扫描。
- 端口扫描 :掌握
nmap的高级用法(隐蔽扫描、版本探测、脚本扫描)。
- 域环境侦察(核心) :
- LDAP 查询 :学会用
ldapsearch或 PowerView 查询域用户、组、计算机。 - PowerView:BloodHound 的数据收集脚本,必须会用。
- 域信任关系:理解父子域、林信任、外部信任。
- LDAP 查询 :学会用
- 本机信息收集 :
- 查看当前权限、补丁级别(systeminfo)、杀毒软件状态、网络连接(netstat)、共享文件夹(net share)。
第三层:权限提升(纵向突破)
目标:从普通用户(User)变成系统管理员(System/ROOT)。
- Windows 提权 :
- 系统漏洞:烂土豆(Potato)系列、MS16-032、CVE-2021-1732 等。
- 服务配置:权限错误的服务(Unquoted Service Path)、可被替换的二进制文件。
- 凭证窃取 :Mimikatz 的使用(Dump LSASS,获取 Hash 和明文)。
- Linux 提权 :
- 内核漏洞:Dirty Cow 等。
- 配置错误:Sudo 权限滥用、Crontab 计划任务、SUID 提权。
- 容器逃逸:Docker 逃逸。
第四层:横向移动与域控攻击(横向扩张)
目标:利用当前机器作为跳板,控制内网其他机器,最终拿下域控(DC)。
- 身份认证攻击 :
- 哈希传递 (PTH):利用 Hash 登录 SMB/WMI/WinRM。
- 票据传递 (PTT):利用 Kerberos 票据登录。
- 密码喷洒 (Password Spraying):针对域用户的弱口令爆破。
- 协议利用 :
- SMB:IPC$ 连接,远程执行命令。
- WMI:无文件远程管理,隐蔽性高。
- WinRM (PSRemoting):PowerShell 远程管理。
- RDP:远程桌面登录。
- 域权限维持与高级攻击 :
- 黄金 / 白银票据:伪造 Kerberos 票据。
- DCShadow:篡改域控数据。
- ACL 权限滥用:利用不当的访问控制列表获取权限。
第五层:隧道与隐蔽(交通与伪装)
目标:突破防火墙限制,把内网流量带出来。
- 端口转发 / 代理 :
- 正向 / 反向代理:原理理解。
- 工具 :
lcx,socat,Chisel,EarthWorm (EW),frp。
- 加密隧道 :
- SSH 隧道:Local/Remote/Dynamic 三种转发。
- DNS 隧道:Iodine, DNSCat2(当只有 DNS 出网时使用)。
- HTTP/S 隧道:reGeorg, Tunna。
- C2 框架 :
- Cobalt Strike (CS):内网渗透的 "军火库",必须精通 Beacon 的各种功能(Pivoting, Spawn, Inject)。
- Metasploit (MSF) :熟练使用
meterpreter的端口转发和路由功能。
推荐的学习路线图(Roadmap)
为了让你有一个清晰的路径,建议按以下三个阶段进行:
第一阶段:单点突破与基础(1-2 个月)
- 重点:拿下一台机器,并学会内网信息收集。
- 任务 :
- 熟练掌握 Kali Linux 常用工具。
- 学会 Windows 和 Linux 的各种提权方法(在 DVWA 或 Kioptrix 等靶场练习)。
- 学会使用 MSF 的基本功能。
- 核心指标:能独立拿下 VulnHub 上的中级难度靶机。
第二阶段:域环境初探与横向移动(2-3 个月)
- 重点:理解域环境,学会利用 Hash 和票据进行移动。
- 任务 :
- 搭建环境:自己在 VMware 里搭建一个域环境(1 台 DC,2 台 客户机)。
- 工具实战:熟练使用 Mimikatz 抓取凭证。
- 横向移动:练习 PTH、WMI、WinRM 横向移动。
- 核心指标:能看懂 BloodHound 生成的域关系图,并找到攻击路径。
第三阶段:高级隧道与企业级对抗(持续进阶)
- 重点:处理复杂网络环境,隐蔽通信,免杀。
- 任务 :
- 隧道技术:熟练配置各种端口转发和代理工具,实现多层内网穿透。
- C2 进阶:学习 Cobalt Strike 的 Profile 配置、监听器配置、权限维持。
- 免杀:学习简单的免杀技术(加壳、混淆、白名单加载)。
- 核心指标:能完成 "红日安全" 或 "ADCS" 等复杂内网靶场的渗透。
给你的建议
- 多动手,少看书 :内网渗透是一门手艺活。书上写的
net user命令你看一百遍,不如自己在虚拟机里敲一遍。 - 关注 "蓝队" 视角:学习渗透的同时,了解一下防御方(EDR、SIEM、日志分析)是怎么工作的。知道他们怎么查,你才知道怎么藏。
- 善用搜索引擎:内网环境千变万化,遇到报错(比如 "拒绝访问"、"端口不通"),要学会精准搜索解决方案。
这个框架涵盖了从入门到进阶的核心内容。你可以先从第一阶段开始,把基础打牢,再逐步深入到域环境的攻击。