在网络安全攻防演练中,内网渗透测试模拟攻击者在突破边界防御后的关键行动,旨在发现内部网络深层次的安全隐患。系统掌握其技术脉络,是网络安全从业者提升实战能力的必修课。本文将系统拆解内网渗透的底层逻辑、标准化流程、核心工具与防御策略,助你构建全面的攻防认知。
一、内网渗透基础认知:摸清底层逻辑与规则边界
(一)内网核心架构与协议体系
内网环境主要分为以下几类,其安全特性各有不同:
- 域环境(Windows AD):企业级主流架构,通过域控制器(DC)集中管理用户、计算机和权限,是内网渗透的重点与难点。
- 工作组环境:常见于小型网络,主机各自为政,权限分散但往往防护薄弱。
- 混合云环境:本地网络与云资源结合,渗透测试需同时覆盖两端。
支撑上述架构通信的核心协议包括:
- TCP/IP 协议簇:ARP(主机发现)、ICMP(网络探测)、TCP/UDP是基础,也是渗透中探测存活的关键。
- SMB 协议(445端口):Windows文件共享与远程执行的生命线,永恒之蓝(MS17-010)等经典漏洞均基于此。
- LDAP 协议(389端口):域环境中查询用户、组等信息的通道,是信息收集的重要来源。
- Kerberos 协议(88端口):域环境身份认证基石,黄金票据、白银票据等攻击均由此衍生。
- RPC 协议(135端口):Windows远程过程调用,常用于远程管理。
(二)权限体系与安全准则
明确权限层级是评估渗透深度的标尺:
- Windows系统:普通用户 → 管理员(Administrator) → SYSTEM权限(最高)。
- 域环境:域用户 → 域管理员(Domain Admin) → 企业管理员(Enterprise Admin) → 域控制器(DC)权限。控制DC即等于控制整个域。
- Linux系统:普通用户 → sudo权限 → root权限(UID=0)。获取root权限即获得完全控制,这在运维/DevOps安全实践中至关重要。
二、内网渗透实战流程:从信息收集到痕迹清理
实战并非盲目尝试,而是遵循“信息收集→横向移动→权限提升→持久化→数据提取→痕迹清理”的标准化链式流程。
(一)信息收集:绘制内网“地图”
全面、细致的信息收集是后续所有行动成功的基石。
- 主机探测:
- 主动:
ping扫描、arp-scan(内网段高效)、fping(批量)。
- 被动:监听ARP包、DNS请求识别存活主机。
- 端口与服务扫描:
- 工具:优先使用
nmap(-sS半开扫描,-sV服务识别)和masscan(高速)。
- 关键端口:135(RPC)、139/445(SMB)、389(LDAP)、22(SSH)、3389(RDP)。
- 域环境探测:
- 判断域存在:
ipconfig /all、net config workstation。
- 定位域控:
nltest /dclist:域名、dsquery server。
- 收集信息:
net user /domain、net group “Domain Admins” /domain。使用BloodHound工具可可视化域内权限关系,快速发现攻击路径。
- 主机详情收集:
- Windows:
systeminfo(系统补丁)、tasklist、netstat -ano、reg query。
- Linux:
uname -a、ps -ef、cat /etc/passwd、cat /etc/shadow(需root)。
(二)横向移动:权限的网状扩散
核心目标是从已控的“跳板机”出发,夺取更多内网主机权限。
- 凭证传递攻击(最常用):
- Pass The Hash (PTH):直接使用NTLM哈希登录其他主机,无需明文密码。工具:mimikatz (
sekurlsa::pth)、Impacket。
- Pass The Ticket (PTT):利用Kerberos票据,适用于域环境。工具:mimikatz (
kerberos::ptt)、Rubeus。
- Pass The Password (PTP):使用明文密码尝试登录多台主机,针对弱密码。
- 漏洞利用横向:
- 关注Windows MS17-010、PrintNightmare (CVE-2021-34527),Linux Dirty COW等漏洞。
- 工具:Metasploit框架、
searchsploit。
- 远程服务横向:
- Windows:WMI (
wmiexec.py)、WinRM (evil-winrm)、PSEXEC、RDP。
- Linux:SSH(密钥/密码)、SCP、Rsync漏洞。
(三)权限提升:夺取系统“王冠”
将当前有限权限提升至系统最高权限。
- Windows提权:
- 系统漏洞(如MS16-032、CVE-2021-34527)。
- 服务配置错误(可执行文件路径劫持)。
- 高权限计划任务。
- 工具:wesng(补丁扫描)、PrivescCheck(环境检查)。
- Linux提权:
- 内核漏洞(Dirty COW、Dirty Pipe CVE-2022-0847)。
- Sudo配置不当 (
sudo -l 查看可利用命令)。
- SUID文件滥用 (
find / -perm -u=s -type f 2>/dev/null)。
- 工具:LinPEAS、LinEnum。
(四)持久化控制:植入隐蔽“后门”
确保即使会话中断,也能重新获取访问权限。
- Windows持久化:
- 创建隐藏账户并加入管理员组。
- 注册表启动项 (
HKLM\Software\Microsoft\Windows\CurrentVersion\Run)。
- 计划任务 (
schtasks)。
- 植入Meterpreter、Cobalt Strike Beacon等后门。
- Linux持久化:
- SSH公钥写入
~/.ssh/authorized_keys。
- 定时任务 (
crontab)。
- 内核级Rootkit。
- 域环境持久化:
- 伪造黄金票据(域管理员哈希)、白银票据(服务票据)。
- DCShadow攻击(模拟域控篡改数据)。
(五)数据提取与痕迹清理
- 数据提取:收集密码哈希、数据库凭证、业务数据等。工具:mimikatz、LaZagne、
rclone。
- 痕迹清理:Windows使用
wevtutil cl 清理事件日志;Linux清理 /var/log/auth.log、history -c 清除命令历史。
三、内网渗透核心工具速览
| 工具类型 |
代表工具 |
核心用途 |
| 信息收集 |
nmap, arp-scan, BloodHound |
端口扫描、主机发现、域关系可视化 |
| 凭证提取 |
mimikatz, LaZagne |
提取Windows哈希、各类应用密码 |
| 横向移动 |
Impacket工具集, evil-winrm |
SMB/WMI/WinRM远程执行 |
| 漏洞利用 |
Metasploit, searchsploit |
漏洞利用模块、EXP查询 |
| 权限提升 |
PrivescCheck, LinPEAS |
Windows/Linux提权辅助 |
| 持久化 |
Cobalt Strike, Empire |
远控后门、协同作战 |
四、内网防御策略:构建纵深防护体系
(一)基础防护措施
- 减少攻击面:定期更新补丁,关闭非必要端口(135,139,445)和服务。
- 强化认证:启用强密码策略,定期更换,禁止密码复用。
- 权限最小化:严格限制管理员权限,避免域管账户登录普通主机。
- 网络隔离:部署防火墙,划分安全域,这也是构建健壮网络/系统架构的重要部分。
(二)监控与审计机制
- 行为监控:关注异常ARP扫描、高频SMB访问、异常Kerberos票据请求。
- 全面日志:开启并定期审计Windows事件日志、Linux系统日志。
- 终端防护:部署EDR(终端检测与响应),实时监测恶意进程与文件。
(三)域环境专项加固
- 强化审计:部署域控制器专项审计策略,监控敏感操作。
- 升级认证:禁用NTLM,强制使用Kerberos认证。
- 自查自纠:定期使用BloodHound扫描域内权限关系,修复配置缺陷。
- 保护核心:加强域控制器物理与访问安全,定期备份。
| 
发表于 前天 18:18
|
查看: 5|
回复: 0
