从Web 到 域控 ＜----＞ 企业级内网渗透思路

目录

[🌐 企业内网攻击思路：信任链的系统性拆解与实战案例](#🌐 企业内网攻击思路：信任链的系统性拆解与实战案例)

[🔑 核心世界观：内网即多层信任链](#🔑 核心世界观：内网即多层信任链)

[🛤️ 经典六阶段攻击链路](#🛤️ 经典六阶段攻击链路)

[🚪 第一阶段：外网切入获取初始身份](#🚪 第一阶段：外网切入获取初始身份)

[🎟️ 第二阶段：进入Kerberos/NTLM世界](#🎟️ 第二阶段：进入Kerberos/NTLM世界)

[🔍 第三阶段：情报收集与权限建模](#🔍 第三阶段：情报收集与权限建模)

[🏃 第四阶段：横向移动](#🏃 第四阶段：横向移动)

⚡第五阶段：域内提权

[🛡️ 第六阶段：持久化与防御对抗](#🛡️ 第六阶段：持久化与防御对抗)

[🧭 极简攻击链脑图](#🧭 极简攻击链脑图)

[🎯 红队内网思维六问](#🎯 红队内网思维六问)

[🚀 结语](#🚀 结语)

---

🌐 企业内网攻击思路：信任链的系统性拆解与实战案例

• 企业内网渗透的核心不是孤立的漏洞利用，而是系统性地破坏和重组信任链。
• 从外网切入，到最终掌控域控，整个过程本质上是沿着协议、身份、权限、信任关系的层层递进。

🔑 核心世界观：内网即多层信任链

内网信任链由六大要素交织而成，攻击者只需找到最薄弱的一环，即可引发连锁反应。

1. 协议信任：Kerberos（票据机制）、NTLM（挑战-响应）、LDAP（目录查询）、SMB（文件共享）

2. 身份信任：用户/服务账户、机器账户、票据、哈希

3. 权限信任：ACL、组嵌套、继承、扩展权限（如ForceChangePassword）

4. 位置信任：内网可达性、分段网络、防火墙规则

5. 行为信任：正常流量特征、User-Agent、会话上下文

6. 时间信任：票据有效期、密码轮换、缓存凭证

关键认知：现代红队不再追求"花式RCE"，而是追求"最短信任链路径"。BloodHound正是把这些关系量化成图论最短路径问题。

🛤️ 经典六阶段攻击链路

🚪 第一阶段：外网切入获取初始身份

目标：拿到任意一张可复用至内网的"门票"。

常见手法与细节：

1. SSRF → 代理访问内网LDAP/SMB（最隐蔽）

2. 文件读取/包含 → 提取配置文件中的域凭证

3. SQL注入 → 读取用户表中的域账号

4. XSS/CSRF → 窃取管理员Web会话

5. RCE（反序列化、命令注入） → 直接Pivot

底层原理：Web应用常作为内外网桥梁，漏洞允许攻击者"借用"服务器身份访问受限资源。

实战案例

• 通过SSRF漏洞（参数url=可控），将请求代理到内网LDAP（ldap://10.10.10.10），查询(objectClass=user)枚举域用户列表，获取如admin@forest.local等用户名，为后续Kerberos攻击铺路。

🎟️ 第二阶段：进入Kerberos/NTLM世界

目标：获取第一张可离线破解或中继的票据/哈希。

主流手法（难度递增）：

1. AS-REP Roasting

   • 针对禁用预认证的用户（常见于服务账户）

   • 原理：KDC直接返回用用户哈希加密的票据（RC4或AES），可离线破解

   • 步骤：

     1. 用GetNPUsers.py枚举无需预认证用户

     2. 请求AS-REP票据

     3. Hashcat -m 18200破解（弱密码秒破）

2. Kerberoasting

   • 针对有SPN的服务账户

   • 原理：TGS票据用服务账户NT哈希加密，弱密码易破解

   • 步骤：

     1. 用GetUserSPNs.py枚举SPN

     2. 请求服务票据

     3. Hashcat -m 13100破解

3. Overpass-the-Hash

   • 用已知NT哈希直接向KDC请求TGT

实战案例： 经典AS-REP Roasting流程：

• 枚举到svc-alfresco账户无需预认证

• 获取krb5asrep哈希

• 破解得到密码s3rvice

• 用该凭证LDAP Bind，进一步枚举Domain Admins组，为DCSync铺路

🔍 第三阶段：情报收集与权限建模

核心工具：BloodHound（SharpHound采集 + Neo4j可视化）

高价值路径查询：

1. GenericAll/GenericWrite → 可重置密码或修改属性

2. WriteDacl → 可给自己加全控

3. AddMember → 直接加组成员

4. Resource-Based Constrained Delegation（RBCD）

5. DCSync权限（GetChangesAll）

实战案例： 用BloodHound发现svc-alfresco对某高权账户有GenericWrite权限 → 修改userAccountControl解除锁 → 重置密码 → 获得高权身份 → 最终DCSync。

🏃 第四阶段：横向移动

三大高速公路：

1. 凭证复用（PTH/PTT/PTK）

2. SMB/WMI/WinRM执行（PsExec、smbexec、wmiexec）

3. NTLM Relay（Responder + ntlmrelayx）

经典加速技巧：

• SYSVOL中的遗留GPP cpassword（虽已少见，但老环境仍存在）

• PrintNightmare变种（打印假脱机提权）

⚡第五阶段：域内提权

2025--2026仍活跃的高频手法：

1. DCSync（最直接）

   • 需要Replication权限

   • mimikatz lsadump::dcsync /user:krbtgt

2. RBCD滥用

   • 修改目标机器的msDS-AllowedToActOnBehalfOfOtherIdentity属性

   • 用低权机器账户伪造高权票据

3. Shadow Credentials

   • 向目标账户添加Key Credential（证书）

   • Whisker工具生成并注入

4. 金/钻票据

   • 获取KRBTGT哈希后伪造任意身份

实战案例： 获得Replication权限后 → DCSync导出KRBTGT哈希 → mimikatz golden票据注入 → 持久化控制全域。

🛡️ 第六阶段：持久化与防御对抗

主流持久化：

1. Golden/Diamond Ticket（有效期设10年）

2. RBCD新增机器账户

3. GPO修改启动脚本

4. Shadow Credentials

防御绕过思路：

• EDR：使用Syscall、间接调用、Beacon sleep掩码

• LAPS：优先找未启用LAPS的机器

• SMB Signing：优先Relay到未强制签名的目标

🧭 极简攻击链脑图

外网Web/SSRF → 用户枚举 → AS-REP Roasting → svc-alfresco凭证
          ↓
LDAP枚举 + BloodHound → 发现提权路径 → ACL/GenericWrite滥用
          ↓
高权身份 → DCSync → KRBTGT哈希 → Golden Ticket → 全域控制

🎯 红队内网思维六问

1. 我现在是谁？（当前身份权限级别）

2. 谁信任我？（入边关系）

3. 我能控制谁？（出边关系）

4. 我能去哪些机器？（横向可达性）

5. 离KRBTGT/Domain Admins还差几跳？

6. 当前路径会被哪些防御打断？（备用链路准备）

持续自问这六个问题，你的每一步决策都会更精准。

🚀 结语

• 内网渗透已从"技术炫技"演变为"信任链数学题"。
• 掌握上述思路，多刷HTB/Proving Grounds/企业红队演练，你会发现：大多数环境，域控其实就差3--5跳。
• 内网渗透的实例不是一蹴而就的，也不是一天就能练出来的，需要不断的靶场试炼，不断的深入理解权限的作用，才能成为优秀的内网渗透工程师。
• 加油吧骚年~~~~