内网渗透中如何绕过防火墙实现权限横向移动？凭据复用与漏洞利用实战解析

在内网渗透测试中，防火墙始终是横亘在测试人员面前的核心壁垒，而权限横向移动则是突破内网边界、达成测试目标的关键环节。不同于外网渗透的“单点突破”，内网环境中防火墙层层部署、权限体系复杂、流量监控严密，导致“绕过防火墙”与“权限横向移动”成为渗透测试中的两大难点。

很多测试人员会陷入一个误区：过度追求“奇技淫巧”的绕过工具，却忽视了防火墙的核心防护逻辑与内网权限体系的底层规律，最终要么被防火墙拦截、测试失败，要么操作不当触发告警，影响业务正常运行。

一、先搞懂：内网防火墙的核心防护逻辑

要绕过防火墙，首先要明确“防火墙在防什么、怎么防”。内网防火墙的核心作用并非“一刀切”阻断所有流量，而是基于“最小权限原则”，对内外网、内网不同网段、不同主机间的流量进行精准管控。其防护逻辑本质是“规则匹配+流量检测”，不同类型防火墙的防护重点差异显著，这也是绕过思路的核心依据。

1.1 内网防火墙的3类核心部署场景与防护重点

内网渗透中遇到的防火墙，主要分为3类。各自的防护逻辑与拦截重点不同，绕过思路也需针对性调整，混淆场景极易导致绕过失败。

（1）边界防火墙

部署在企业内网与互联网的交界处，核心作用是阻断外网非法流量进入内网，同时管控内网流量对外访问。常见设备如企业级NGFW（下一代防火墙）、硬件防火墙，防护重点集中在：

• 端口管控：仅开放业务必需端口（如80、443、3389等），阻断高危端口（如22、445、135等）的内外网通信；
• 协议过滤：拦截异常协议流量（如ICMP、Telnet），仅放行HTTP、HTTPS、TCP等合法业务协议；
• 流量检测：基于特征匹配，拦截已知攻击流量（如SQL注入、恶意代码传输），部分NGFW支持深度包检测（DPI），可识别隐藏在合法端口中的异常流量。

边界防火墙是内网渗透的第一道壁垒，也是最易被误解的环节。很多人认为“绕过边界防火墙就是突破内网”，实则不然。边界防火墙仅管控内外网流量，内网网段间的通信管控，更多依赖内网分段防火墙。

（2）内网分段防火墙

随着企业内网规模扩大，多数企业会通过VLAN将内网划分为不同网段（如办公网段、服务器网段、核心业务网段）。分段防火墙部署在不同VLAN之间，核心作用是“隔离内网风险”，防护重点：

• 网段隔离：禁止不同网段间的默认通信，仅开放网段间业务交互必需的端口与协议；
• 权限管控：基于IP地址、MAC地址限制访问，仅允许授权主机访问核心网段（如数据库服务器网段仅允许应用服务器访问）；
• 横向流量检测：拦截内网网段间的异常横向通信（如普通办公机访问核心服务器的445端口）。

内网分段防火墙是权限横向移动的核心阻碍。即使突破边界防火墙、获取内网某台办公机权限，若无法绕过分段防火墙，也无法访问其他网段的主机，更无法实现权限横向扩展。

（3）主机防火墙

部署在每台内网主机上（如Windows防火墙、Linux iptables、第三方终端安全软件的防火墙功能），核心作用是保护单台主机免受内网其他主机的攻击，防护重点：

• 端口防护：阻断主机上未使用的端口，仅开放主机自身业务必需的端口；
• 进程管控：基于进程限制端口访问，仅允许合法进程监听端口、接收流量；
• 入站/出站规则：限制外部主机对本机的访问（入站规则），同时限制本机对外发送的异常流量（出站规则）。

主机防火墙是权限横向移动的“最后一道阻碍”。即使绕过分段防火墙、能够访问目标主机的IP与端口，若目标主机的防火墙规则阻断了访问，也无法建立连接、实现权限控制。

1.2 防火墙的核心防护原理

无论哪种防火墙，核心防护原理都是“规则匹配+流量检测”。所有绕过思路都围绕“规避规则匹配”“伪装合法流量”展开，不存在“万能绕过方法”，关键是“读懂规则、利用漏洞”：

• 规则匹配：防火墙预设一系列访问规则（允许/拒绝），流量经过时，优先匹配最精细的规则（如IP+端口+协议的组合规则），匹配不到规则时，执行默认策略（多数企业为“默认拒绝”）；
• 流量检测：分为基础检测（检测IP、端口、协议）和深度检测（检测数据包内容、流量特征、进程关联），深度检测难度更高，也是现代防火墙的核心防护能力；
• 规则漏洞：多数防火墙的绕过空间，源于规则配置不当（如过度开放端口、规则冗余、未及时更新），而非防火墙本身的漏洞。这也是本文重点讲解的合规绕过思路（避免利用0day漏洞，降低业务风险）。

二、核心突破：内网防火墙的合规绕过思路与技巧

2.1 边界防火墙的绕过思路（突破内外网边界）

边界防火墙的核心是“管控内外网流量”，绕过的关键是“伪装合法流量”“利用规则漏洞”。核心思路是“不直接对抗防火墙，而是顺着防火墙的规则通行”。常见可落地技巧如下：

技巧1：利用合法端口穿透（最安全、最常用）

边界防火墙通常会开放80（HTTP）、443（HTTPS）等合法业务端口，这类端口的流量被防火墙默认放行，也是最易利用的穿透通道。核心原理是“将渗透流量封装在合法端口的流量中，伪装成业务流量，绕过防火墙检测”。

实战场景：某企业边界防火墙仅开放80、443端口，禁止其他端口的内外网通信。测试人员通过钓鱼获取内网办公机权限后，在办公机上部署HTTP隧道工具（如reGeorg、EarthWorm），将内网流量封装在HTTP请求中，通过80端口转发至外部测试服务器，实现内外网通信，绕过边界防火墙的端口管控。

注意事项：

• 优先使用目标企业自身的业务端口（如企业有Web业务，优先用80、443端口；有邮件业务，可尝试25、465端口），降低流量异常检测风险；
• 避免大量高频转发流量，防止触发防火墙的流量阈值告警；
• 隧道工具需进行免杀处理，避免被终端安全软件检测拦截（如修改工具特征码、加密隧道流量）。

技巧2：利用防火墙规则配置漏洞

多数企业的边界防火墙规则配置存在冗余、宽松等问题，这也是合规渗透测试中最常利用的绕过点。核心是“找到规则中的漏洞，实现流量放行”。常见漏洞场景与利用方法：

• 场景1：过度开放端口——部分企业为了业务便利，开放了445、135等高危端口，且未限制访问IP。测试人员可直接通过这些高危端口，从外网访问内网主机（如通过445端口利用SMB漏洞获取主机权限）；
• 场景2：规则优先级混乱——防火墙规则按优先级执行，若低优先级的“允许”规则覆盖了高优先级的“拒绝”规则（如允许所有IP访问443端口，却在高优先级设置拒绝特定IP访问），可利用低优先级规则绕过拦截；
• 场景3：未限制源IP访问——部分规则仅限制了端口，未限制源IP（如允许所有外网IP访问3389端口），测试人员可直接通过该端口远程访问内网主机；
• 场景4：UPnP配置不当——部分内网主机开启UPnP功能，会自行将内网端口映射到公网，绕过边界防火墙的规则管控。测试人员可通过扫描内网UPnP设备，找到映射的端口，实现内外网通信。

实战注意：利用规则漏洞前，需通过内网信息收集（如查看防火墙配置文件、询问运维人员、扫描端口开放情况）确认规则细节，避免误判规则、触发告警。

技巧3：利用合法服务代理

核心原理是“借助内网合法的对外服务（如VPN、代理服务器、邮件服务器），伪装成合法用户，绕过边界防火墙的管控”，适合边界防火墙管控严格、仅允许特定服务对外通信的场景。

实战场景：某企业边界防火墙仅允许VPN服务对外通信，员工通过VPN远程接入内网。测试人员通过钓鱼获取员工VPN账号密码后，登录合法VPN，直接接入内网，绕过边界防火墙的流量拦截。这种方式本质是“利用合法身份接入”，而非“破解防火墙”，是最安全、最不易触发告警的绕过方式。

其他场景：利用内网代理服务器（如企业部署的HTTP代理，用于员工访问外网），将渗透流量通过代理服务器转发，伪装成员工正常上网流量；利用邮件服务器的转发功能，将内网数据通过邮件发送至外部，实现数据外泄与流量穿透。

技巧4：隧道技术穿透

当边界防火墙开启深度包检测（DPI），常规的端口穿透无法绕过检测时，可使用隧道技术，将渗透流量封装在合法协议中，规避DPI检测。常见隧道类型及适用场景：

• DNS隧道：将流量封装在DNS请求中（如dnscat2工具），利用53端口（DNS端口）转发流量。多数企业会开放53端口用于域名解析，且DNS流量的检测难度较高，适合边界防火墙管控极严格的场景。但需注意，若企业DNS服务器限制了外部解析，或开启了DNS流量审计，可能会被检测到；
• ICMP隧道：将流量封装在ICMP请求中（如ping隧道），利用ICMP协议转发流量。部分企业未阻断ICMP协议，适合边界防火墙禁止TCP/UDP端口、仅允许ICMP协议的场景。但ICMP隧道的传输速度较慢，且易被流量监控工具检测到异常ping包；
• SSL隧道：将流量封装在SSL加密协议中，利用443端口转发。SSL流量加密，防火墙无法解析数据包内容，仅能检测端口与协议，适合边界防火墙开启DPI、但允许443端口SSL流量的场景。

注意：隧道技术仅用于“无法通过其他方法绕过”的复杂场景，且需控制流量规模，避免触发防火墙的异常流量告警。

2.2 内网分段防火墙的绕过思路

内网分段防火墙的核心是“隔离不同网段”，绕过的关键是“找到网段间的连接点，伪装成合法网段流量”。核心思路是“利用内网中的‘跳板机’‘信任关系’，突破网段隔离”。常见技巧如下：

技巧1：利用跳板机穿透

内网中，部分主机因业务需求，会被授权访问多个网段（如运维管理机、应用服务器，既属于办公网段，又能访问核心服务器网段），这类主机被称为“跳板机”。绕过分段防火墙的核心，就是获取跳板机权限，以跳板机为中介，访问其他网段的主机。

实战场景：某企业内网分为办公网段（192.168.1.0/24）、应用服务器网段（192.168.2.0/24）、核心数据库网段（192.168.3.0/24）。分段防火墙禁止办公网段直接访问核心数据库网段，但允许应用服务器网段访问核心数据库网段，且运维管理机（192.168.1.100）可访问应用服务器网段。测试人员获取办公机（192.168.1.10）权限后，通过哈希传递攻击获取运维管理机权限，再以运维管理机为跳板，访问应用服务器网段，最终通过应用服务器访问核心数据库网段，绕过分段防火墙的网段隔离。

关键步骤：

• 信息收集：找到内网中的跳板机（通过扫描网段间的通信流量、查看主机路由表、询问运维人员）；
• 获取跳板机权限：通过凭据复用、漏洞利用等方式，获取跳板机的管理员权限；
• 搭建跳板通道：在跳板机上部署端口转发工具（如frp、lcx），将目标网段的端口转发至跳板机，实现跨网段访问。

技巧2：利用网段信任关系

部分企业为了业务便利，会配置网段间的信任关系（如办公网段与应用服务器网段互信、核心网段信任特定IP段）。分段防火墙会默认允许信任网段间的通信，这也是绕过的重要突破口。

实战场景：某企业配置了“办公网段（192.168.1.0/24）信任应用服务器网段（192.168.2.0/24）”，分段防火墙允许两个网段间的所有端口通信。测试人员获取办公机权限后，直接通过办公机访问应用服务器网段的主机（如通过445端口、3389端口），无需额外绕过操作，直接突破分段防火墙的隔离。

注意：网段信任关系通常是双向的，需确认信任关系的方向（如A网段信任B网段，不代表B网段信任A网段），避免误判导致访问失败。

技巧3：修改分段防火墙规则

若测试人员能够获取分段防火墙的管理权限（如通过运维人员的账号密码登录防火墙管理后台，或通过漏洞获取防火墙权限），可直接修改防火墙规则，开放所需的端口与网段访问权限，实现绕过。

实战注意：

• 该方法仅适用于“授权测试中明确允许修改防火墙规则”的场景，严禁未经授权修改规则，避免影响内网业务正常运行；
• 修改规则时，需记录原始规则，测试结束后及时恢复，防止留下安全隐患；
• 优先修改临时规则，设置规则的有效期，降低风险。

2.3 主机防火墙的绕过思路

主机防火墙的核心是“保护单台主机”，绕过的关键是“修改防火墙规则”“伪装合法进程”“利用规则漏洞”。常见技巧如下，均需在获取目标主机权限后操作：

技巧1：直接关闭主机防火墙

若获取目标主机的管理员权限，可直接关闭主机防火墙，彻底绕过其防护。适用于Windows、Linux等各类主机系统，操作方法如下（仅用于授权测试）：

• Windows系统：通过命令行关闭（netsh advfirewall set allprofiles state off），或通过控制面板→Windows Defender防火墙，关闭所有网络配置文件的防火墙；
• Linux系统：通过命令行关闭（service iptables stop 或 systemctl stop firewalld），并禁止防火墙开机自启（chkconfig iptables off 或 systemctl disable firewalld）。

注意事项：

• 关闭防火墙后，目标主机可能会被内网其他恶意主机攻击，需在测试结束后及时开启，恢复默认配置；
• 部分企业会通过终端安全软件管控主机防火墙，禁止随意关闭，此时需先绕过终端安全软件的管控。

技巧2：修改主机防火墙规则

若无需彻底关闭防火墙，仅需开放特定端口（如3389、445端口，用于横向移动），可直接修改主机防火墙规则，开放所需端口的访问权限，比关闭防火墙更隐蔽，不易触发告警。

实战操作（Windows系统）：

• 通过命令行开放端口：netsh advfirewall firewall add rule name="Test" dir=in action=allow protocol=TCP localport=3389 remoteip=192.168.1.0/24（仅允许192.168.1.0/24网段访问3389端口）；
• 通过图形界面修改：打开Windows Defender防火墙→高级设置→入站规则，新建入站规则，开放所需端口、协议与访问IP。

Linux系统（iptables）：

iptables -A INPUT -p tcp --dport 445 -s 192.168.2.0/24 -j ACCEPT

（仅允许192.168.2.0/24网段访问445端口）。

技巧3：利用合法进程旁路

现代主机防火墙（尤其是终端安全软件的防火墙功能）会基于“进程关联”管控端口访问，仅允许合法进程监听端口、接收流量。核心思路是“将渗透工具的进程伪装成合法进程，或借助合法进程监听端口，绕过进程检测”。

实战场景：目标主机的防火墙禁止未知进程监听3389端口，但允许Windows系统进程（如svchost.exe）监听端口。测试人员通过进程注入技术，将远程控制工具的代码注入到svchost.exe进程中，借助svchost.exe进程监听3389端口，实现远程桌面连接，绕过主机防火墙的进程管控。

其他方法：利用系统自带的合法工具（如PowerShell、cmd）执行横向移动操作。这类工具的进程通常会被主机防火墙默认放行，可避免触发进程检测告警（如通过PowerShell执行哈希传递攻击，无需额外部署工具）。

技巧4：利用主机防火墙规则漏洞

部分主机防火墙的规则配置存在漏洞，可直接利用这些漏洞绕过防护。常见漏洞场景：

• 场景1：规则宽松——防火墙仅开启了出站规则，未开启入站规则，或入站规则允许所有IP、所有端口访问；
• 场景2：规则冲突——不同规则之间存在冲突（如禁止所有IP访问445端口，却单独允许127.0.0.1访问445端口，可通过本地端口转发绕过）；
• 场景3：未拦截loopback地址——主机防火墙通常不会拦截127.0.0.1（本地回环地址）的通信，可通过本地端口转发，将外部访问转发至本地，绕过防火墙拦截。

2.4 防火墙绕过的核心原则与禁忌

内网渗透中，防火墙绕过的核心是“合规、安全、可控”。严禁违规操作，避免误导用户，以下原则必须严格遵守：

• 合规性原则：所有绕过操作必须在授权范围内进行，需提前获得企业书面授权，明确测试范围、测试方法与测试时间，严禁未经授权的绕过操作；
• 安全性原则：绕过操作不得影响内网业务正常运行，不得修改核心业务配置，不得触发高危告警，测试结束后及时恢复所有修改（如防火墙规则、主机配置）；
• 真实性原则：不夸大绕过技巧的效果，不宣传“万能绕过方法”。防火墙的绕过效果，取决于防火墙的配置、部署场景与内网环境，不存在适用于所有场景的方法；
• 禁忌：严禁利用未公开的0day漏洞绕过防火墙（易导致业务崩溃）；严禁大量扫描、爆破防火墙（易触发告警，影响业务）；严禁泄露测试过程中获取的内网信息。

三、绕过防火墙后，权限横向移动的核心路径与技巧

绕过防火墙后，内网渗透的核心目标是“实现权限横向移动”。即从已控制的内网主机，扩展到其他主机，最终获取内网核心资产（如域控、数据库服务器）的权限。权限横向移动的核心逻辑是“凭据复用+漏洞利用+内网信息收集”，结合防火墙绕过的成果，逐步扩展权限范围。全程需保持隐蔽，避免触发内网安全监控。

3.1 权限横向移动的前提准备

绕过防火墙后，不能盲目进行横向移动。需先完成3项基础准备工作，明确内网环境、获取核心凭据，降低移动失败的风险：

（1）完善内网信息收集

信息收集的核心是“找到内网中的高价值目标（如域控、数据库服务器）、明确网段拓扑、获取主机凭据”。常见收集内容与方法：

• 网段拓扑收集：通过命令行（ipconfig、route print、arp -a）查看目标主机的IP地址、子网掩码、网关，确定内网网段范围；通过扫描工具（如nmap、masscan，需进行隐蔽扫描，避免触发告警）扫描内网存活主机，绘制网段拓扑；
• 高价值目标识别：通过扫描主机的端口、服务，识别核心主机（如开放53端口的DNS服务器、开放389端口的域控服务器、开放1433端口的数据库服务器）；通过查看主机的注册表、配置文件，识别业务核心主机；
• 凭据收集：这是横向移动的核心。通过工具（如mimikatz、LaZagne）获取目标主机的本地管理员密码、哈希值、票据（Kerberos票据）；通过查看主机的浏览器缓存、远程桌面记录、配置文件，获取其他主机的账号密码；通过钓鱼、社会工程学，获取运维人员、管理员的账号密码。

实战注意：内网扫描需采用隐蔽模式（如慢速扫描、分段扫描），避免大量高频扫描流量触发内网安全监控工具的告警；凭据收集需进行免杀处理，避免被终端安全软件检测拦截。

（2）搭建横向移动通道

结合前面的防火墙绕过技巧，搭建横向移动通道，确保能够跨网段访问目标主机。常见通道类型：

• 跳板通道：以已控制的跳板机为中介，通过端口转发、代理工具，实现跨网段访问（如通过frp将目标网段的3389端口转发至跳板机，测试人员通过跳板机访问目标主机的远程桌面）；
• 隧道通道：若内网分段防火墙管控严格，可在跳板机上部署隧道工具（如DNS隧道、SSL隧道），将横向移动流量封装在合法流量中，绕过分段防火墙的检测；
• 合法服务通道：借助内网合法的服务（如远程桌面、SSH、WMI），通过合法凭据登录目标主机，实现横向移动。这类方式最隐蔽，不易触发告警。

（3）规避内网安全监控

权限横向移动过程中，除了绕过防火墙，还需规避内网其他安全监控工具（如IDS/IPS、终端安全软件、日志审计工具）。常见规避方法：

• 日志清理：执行横向移动操作后，及时清理目标主机的系统日志、安全日志（如Windows的事件查看器日志、Linux的/var/log日志），避免操作被审计发现；
• 流量隐蔽：避免使用高频、异常的横向移动工具，优先使用系统自带工具（如PowerShell、cmd、WMI）；加密横向移动流量，避免被IDS/IPS检测到异常；
• 进程隐蔽：将渗透工具的进程伪装成合法进程，或注入到系统进程中，避免被终端安全软件检测到未知进程；
• 时间控制：优先在非业务高峰时段（如深夜、周末）进行横向移动操作，降低影响范围，减少被发现的概率。

3.2 权限横向移动的核心技巧

权限横向移动的核心是“凭据复用”。内网中多数企业会存在“密码复用”“哈希复用”的情况（如多个主机使用相同的本地管理员账号密码、域内用户密码复用），这也是最常用、最安全的横向移动技巧；其次是“漏洞利用”——针对内网主机存在的未修复漏洞，实现权限获取；最后是“合法工具滥用”——借助内网合法的管理工具，实现权限扩展。

技巧1：凭据复用（最核心、最常用，无业务影响）

凭据复用的核心是“利用已获取的账号密码、哈希值、票据，登录其他内网主机”，无需利用漏洞，隐蔽性高、无业务影响，是合规渗透测试中最优先使用的横向移动技巧。常见类型：

（1）哈希传递攻击（Pass The Hash，PTH）

核心原理：Windows系统中，用户登录时，系统会将密码加密成NTLM哈希值，存储在内存中。哈希传递攻击无需获取密码明文，直接利用内存中的NTLM哈希值，模拟用户登录其他主机，实现权限控制。

利用条件（关键，避免错误误导）：

• 目标主机必须开启SMB服务（445端口开放）；
• 已获取目标主机的NTLM哈希值（通常是本地管理员或域管理员的哈希值）；
• Windows Vista及以后的系统，仅允许administrator用户的哈希值进行哈希传递攻击（其他管理员用户即使权限足够，也无法使用）；
• 域环境中，域管理员组内用户的哈希值，可用于登录域内所有主机。

实战操作：通过mimikatz工具获取已控制主机的NTLM哈希值（命令：sekurlsa::logonpasswords），然后使用mimikatz执行哈希传递攻击（命令：sekurlsa::pth /user:administrator /domain:workgroup /ntlm:哈希值），之后通过远程桌面、PsExec等工具，登录目标主机。

（2）票据传递攻击（Pass The Ticket，PTT）

核心原理：域环境中，用户登录域后，域控会颁发一张Kerberos票据（TGT），用户凭此票据可访问域内其他主机的服务，无需再次输入密码。票据传递攻击无需获取密码或哈希值，直接利用已获取的Kerberos票据，模拟用户访问域内其他主机，实现横向移动。

利用条件：

• 必须是域环境；
• 已获取域用户的Kerberos票据（通常通过mimikatz工具导出，命令：sekurlsa::tickets /export）；
• 票据未过期（默认有效期为10小时）。

实战场景：测试人员获取域内某台办公机的权限后，通过mimikatz导出该主机内存中的Kerberos票据，然后将票据注入到本地进程中（命令：kerberos::ptt 票据文件），之后可直接访问域内其他主机的服务（如文件共享、远程桌面），无需输入密码，绕过权限验证。

（3）密码复用攻击

核心原理：内网中多数用户会存在“密码复用”的习惯（如本地管理员密码与域用户密码相同、多个主机的本地管理员密码相同、员工账号密码与远程桌面密码相同）。测试人员可利用已获取的账号密码，尝试登录其他内网主机，实现横向移动。

实战操作：通过工具（如LaZagne）获取已控制主机的账号密码，然后使用远程桌面（mstsc）、SSH、PsExec等工具，批量尝试登录内网其他主机，优先尝试核心主机（如域控、数据库服务器），提高移动效率。

注意：避免高频批量爆破，可采用慢速尝试、分段尝试的方式，避免触发内网安全监控工具的告警。

技巧2：漏洞利用（辅助技巧，需确认漏洞存在）

当凭据复用无法实现横向移动时，可利用内网主机存在的未修复漏洞，获取目标主机权限，实现横向移动。核心原则是“优先利用低风险、已公开的漏洞，避免利用0day漏洞，降低业务风险”。常见漏洞类型：

（1）SMB漏洞（最常用，针对Windows主机）

SMB协议是Windows主机之间文件共享、打印机共享的核心协议。常见漏洞如永恒之蓝（MS17-010）、SMB信息泄露漏洞（CVE-2020-0796）等，可通过漏洞利用工具（如Metasploit、永恒之蓝利用工具），获取目标主机权限。

实战注意：

• 利用前需确认目标主机存在该漏洞（通过漏洞扫描工具验证），避免盲目利用导致业务崩溃；
• 优先利用“非破坏性”漏洞（如信息泄露漏洞），避免利用远程代码执行漏洞时，触发业务异常；
• 漏洞利用工具需进行免杀处理，避免被终端安全软件检测拦截。

（2）RPC漏洞（针对Windows主机）

RPC（远程过程调用）协议用于Windows主机之间的远程管理。常见漏洞如RPC远程代码执行漏洞（CVE-2021-26855），可通过漏洞利用，获取目标主机的管理员权限，实现横向移动。

（3）Web漏洞（针对内网Web服务器）

内网中部分Web服务器（如应用服务器、管理后台）可能存在SQL注入、文件上传、命令执行等Web漏洞。测试人员可通过这些漏洞，获取Web服务器的权限，然后以Web服务器为跳板，访问其他网段的主机。

技巧3：合法工具滥用

内网中，管理员通常会使用一些合法的管理工具（如PsExec、WMI、PowerShell、远程桌面）管理内网主机。这些工具的进程、流量通常会被内网安全监控工具默认放行。核心思路是“滥用这些合法工具，实现权限横向移动”，隐蔽性极高。

（1）WMI（Windows管理规范）滥用

WMI是Windows系统自带的远程管理工具，可用于远程执行命令、获取主机信息、控制主机进程，默认开启（135端口开放），且多数企业不会限制WMI的使用。测试人员可通过WMI，借助已获取的凭据，远程控制目标主机，实现横向移动。

实战命令：

wmic /node:目标IP /user:账号 /password:密码 process call create "cmd.exe /c 命令"

（远程执行命令）；

wmic /node:目标IP /user:账号 /password:密码 computersystem get name

（获取目标主机名称）。

（2）PowerShell滥用

PowerShell是Windows系统自带的命令行工具，功能强大，可用于远程执行脚本、控制主机，且多数主机防火墙会默认放行PowerShell的流量。测试人员可通过PowerShell，执行横向移动操作（如哈希传递、远程命令执行），无需额外部署工具，隐蔽性高。

实战场景：通过PowerShell脚本，批量尝试登录内网主机（利用密码复用）；通过PowerShell远程执行命令，获取目标主机的权限；通过PowerShell部署隧道工具，搭建横向移动通道。

（3）远程桌面（RDP）滥用

远程桌面（3389端口）是管理员远程管理Windows主机的常用工具。若测试人员获取了目标主机的管理员账号密码，可直接通过远程桌面登录目标主机，实现权限控制，操作简单、隐蔽性高。

实战注意：若目标主机的3389端口被主机防火墙阻断，可先修改防火墙规则，开放3389端口，再登录；登录后及时清理远程桌面登录日志，避免被审计发现。

3.3 权限横向移动的难点与突破思路

即使绕过防火墙，权限横向移动也会面临诸多难点。多数测试人员会陷入“获取一台主机权限后，无法扩展”的困境。以下是实战中最常见的难点，及对应的突破思路。

难点1：内网分段严格，跨网段访问困难

表现：仅能控制某一个网段的主机，无法访问其他网段（如办公网段无法访问核心服务器网段），分段防火墙规则严格，无法找到跳板机。

突破思路：

• 重新完善信息收集，重点寻找内网中的“跨网段设备”（如路由器、交换机、运维管理机、VPN服务器），这类设备通常能访问多个网段，可作为跳板机；
• 利用内网中的合法服务（如邮件服务器、文件服务器），这类服务通常会被授权访问多个网段，可借助其实现跨网段通信；
• 尝试利用分段防火墙的漏洞（如规则配置不当、漏洞），实现跨网段流量放行。

难点2：无法获取有效凭据，凭据复用失败

表现：获取某台主机权限后，无法收集到其他主机的账号密码、哈希值、票据，或收集到的凭据无法登录其他主机（密码不复用、哈希值无效）。

突破思路：

• 扩大凭据收集范围，查看主机的浏览器缓存、Cookie、远程桌面记录、配置文件（如数据库配置文件、应用程序配置文件），寻找隐藏的凭据；
• 通过社会工程学、钓鱼攻击，获取内网员工、管理员的账号密码（如伪装成运维人员，发送钓鱼邮件，获取管理员凭据）；
• 尝试利用目标主机的漏洞，获取主机权限，无需凭据（如SMB漏洞、RPC漏洞）；
• 针对域环境，尝试获取域控的权限。域控中存储着域内所有用户的凭据，获取域控权限后，可实现全网横向移动。

难点3：内网安全监控严格，操作易触发告警

表现：执行横向移动操作（如扫描、凭据复用、漏洞利用）时，频繁触发内网IDS/IPS、终端安全软件的告警，测试被迫中断。

突破思路：

• 降低操作频率，采用隐蔽扫描（如慢速扫描、分段扫描）、分散操作时间（避免集中操作），减少流量异常；
• 优先使用系统自带工具（如PowerShell、WMI、cmd），替代第三方渗透工具，降低被检测的概率；
• 对渗透工具进行免杀处理（如修改特征码、加密工具、注入系统进程），避免被终端安全软件检测拦截；
• 执行操作后，及时清理日志（系统日志、安全日志、工具操作日志），避免被审计发现。

难点4：核心主机防护严密，无法获取权限

表现：找到域控、数据库服务器等核心主机，但核心主机的防火墙规则严格、无未修复漏洞、凭据无法复用，无法获取权限。

突破思路：

• 重点收集核心主机的信息，查看其运行的服务、端口，寻找隐藏的漏洞（如小众服务漏洞、配置漏洞）；
• 借助核心主机的信任主机（如应用服务器，核心主机通常会信任应用服务器），先获取信任主机的权限，再通过信任关系，访问核心主机；
• 尝试获取核心主机的物理权限（如伪装成运维人员，进入机房，直接操作核心主机），适合授权测试中明确允许物理测试的场景；
• 放弃直接获取核心主机权限，转而收集核心主机的间接信息（如通过应用服务器访问核心数据库，获取数据库数据），达成测试目标。

四、实战场景

4.1 实战场景复盘（真实案例改编，合规测试）

测试环境：某中型企业，内网分为办公网段（192.168.1.0/24）、应用服务器网段（192.168.2.0/24）、核心数据库网段（192.168.3.0/24）；边界防火墙仅开放80、443、465端口；分段防火墙禁止办公网段直接访问核心数据库网段，允许应用服务器网段访问核心数据库网段；所有主机均开启主机防火墙，终端安全软件部署到位。

测试目标：绕过防火墙，获取核心数据库网段的数据库服务器权限，评估内网防护能力。

完整流程：

1. 初始突破：通过钓鱼攻击，向企业办公人员发送钓鱼邮件，诱导点击恶意链接，获取一台办公机（192.168.1.15）的普通用户权限；
2. 边界防火墙绕过：办公机无法直接与外部测试服务器通信，边界防火墙仅开放80端口。在办公机上部署reGeorg HTTP隧道工具，将内网流量封装在HTTP请求中，通过80端口转发至外部测试服务器，实现内外网通信，绕过边界防火墙；
3. 内网信息收集：通过办公机的命令行与隐蔽扫描工具，收集内网信息，发现运维管理机（192.168.1.100），可访问应用服务器网段；收集到办公机本地管理员的NTLM哈希值（通过免杀版mimikatz工具执行sekurlsa::logonpasswords命令），同时确认办公机开启SMB服务，满足哈希传递攻击条件；
4. 获取跳板机权限：利用收集到的本地管理员哈希值，通过mimikatz执行哈希传递攻击（命令：sekurlsa::pth /user:administrator /domain:workgroup /ntlm:哈希值），成功获取运维管理机（192.168.1.100）的管理员权限，绕过分段防火墙对办公网段访问应用服务器网段的限制；
5. 搭建跨网段通道：在运维管理机上部署frp端口转发工具，将应用服务器网段（192.168.2.0/24）的445、1433端口转发至运维管理机的空闲端口（如8888、9999端口），同时修改运维管理机的主机防火墙规则，开放这两个转发端口，确保跨网段访问通畅；
6. 应用服务器横向移动：通过运维管理机的转发端口，访问应用服务器网段的存活主机，利用密码复用技巧（办公机收集到的凭据），成功登录一台应用服务器（192.168.2.50）；通过WMI远程执行命令（wmic /node:192.168.2.50 /user:administrator /password:密码 process call create "cmd.exe /c ipconfig"），确认该应用服务器可访问核心数据库网段；
7. 突破核心数据库网段：在应用服务器上查看数据库配置文件，获取核心数据库服务器（192.168.3.20）的登录账号密码；修改应用服务器的主机防火墙规则，开放1433端口，通过SQL Server客户端工具，成功登录核心数据库服务器，获取数据库管理员权限；
8. 测试收尾：完成测试目标后，依次清理所有操作痕迹——删除隧道工具、frp工具及相关日志，恢复所有主机的防火墙规则至原始状态，删除注入的Kerberos票据，清理系统日志与安全日志，确保不影响企业业务正常运行。

内网渗透中，“绕过防火墙”与“权限横向移动”并非依赖“奇技淫巧”，核心是“读懂防护逻辑、利用配置漏洞、复用合法资源”。防火墙的核心是“规则管控”，绕过的关键是“伪装合法、规避规则”；权限横向移动的核心是“凭据复用”，突破的关键是“精准收集、隐蔽操作”。更多关于内网渗透和防火墙绕过的技术讨论，欢迎访问云栈社区的安全/渗透/逆向板块，与广大技术爱好者交流分享。