发布时间:2026/7/18 4:02:46
拿下第一台服务器之后,如何横向扩散到整个内网?(第十弹·内网横向移动篇) 上篇文章你提权到了root/administrator以为自己“毕业”了。真相是单台服务器的沦陷在真正的内网渗透里连“开始”都算不上。全文约2100字阅读约7分钟。今天带你从“单点突破”走向“全网控制”。一、先讲一个真实故事一台OA服务器的“多米诺骨牌”2026年7月FreeBuf上有一篇红队复盘文章火了。攻击者从一个OA系统的文件上传漏洞起步拿到了一台JSP的Webshell。这台机器是双网卡——一张网卡连外网另一张网卡连着内网10.10.0.0/16段。从外网跳进内网的“桥头堡”就这么被攻破了。上线Cobalt Strike之后攻击者做了几件事用mimikatz抓本机hash——抓到了一个域账号的hash。查域信息——确认这台机器在域里。用抓到的hash对内网进行哈希传递攻击。接下来的事就像多米诺骨牌一台→两台→十台→整个域。11天后域里200多台机器的hash全部导出krbtgt票据伪造完毕域控完全沦陷。而整个过程中攻击者用到的每一样东西都是公开工具——mimikatz、Cobalt Strike、Impacket。这就是横向移动的威力一台服务器的沦陷可以变成整个内网的沦陷。二、横向移动到底是什么说人话官方定义横向移动Lateral Movement是指攻击者在成功入侵一台主机后以该主机为跳板在网络内部进一步扩展访问权限、控制其他系统或服务的过程。说人话就一句话从“打单机”变成“打联网”。想象一下你是一个小偷撬开了小区保安亭的门拿到了第一台服务器。保安亭里有整个小区的门禁卡和钥匙密码、hash、票据。你用这些钥匙挨家挨户打开其他住户的门——这就是横向移动。没有横向移动你永远停留在“单机沦陷”阶段无法形成真正的内网威胁。内网渗透的基础流程通常分为五个阶段信息收集 → 漏洞扫描 → 漏洞利用 → 权限维持 → 横向移动。你之前学的SQL注入、文件上传、提权都是为了给横向移动铺路。三、横向移动的“三板斧”凭据为王横向移动的核心只有一句话谁掌握了凭据谁就掌握了内网。Windows内网里身份认证主要靠两样东西NTLM哈希和Kerberos票据。你不需要知道明文密码——拿到哈希或票据就等于拿到了“通行证”。 第一板斧PTH哈希传递攻击——最暴力、最常用哈希传递攻击Pass-the-Hash简称PTH是Windows环境下最核心、最常用的横向移动手段。核心逻辑极其简单无需获取目标账户的明文密码仅通过NTLM哈希就能完成Windows的NTLM认证实现远程访问。怎么拿到哈希mimikatz——神器中的神器。在提权到SYSTEM之后执行textmimikatz.exe privilege::debug sekurlsa::logonpasswords exit所有登录过这台机器的账号密码和哈希全部暴露在你面前。拿到哈希之后怎么用Impacket工具包里的psexec.py或wmiexec.pytextpsexec.py 域名/用户名目标IP -hashes :NTLM哈希一条命令远程执行目标机器直接上线。 第二板斧PTT票据传递攻击——更隐蔽、更高级票据传递攻击Pass-the-Ticket简称PTT利用的是Kerberos协议——它比PTH更隐蔽而且不需要管理员权限。Kerberos认证用的是TGTTicket Granting Ticket——拿到了TGT就等于拿到了“域通行证”。三种经典玩法黄金票据Golden Ticket伪造krbtgt账号的TGT——你可以在域里任意伪造任何用户的身份。白银票据Silver Ticket伪造特定服务的TGS——可以访问特定服务不用接触域控。MS14-068利用微软漏洞直接伪造TGT——2014年的老漏洞至今仍有大量域环境没打补丁。怎么用mimikatz注入票据textmimikatz.exe kerberos::ptt 票据.kirbi票据注入内存你瞬间变成了域管理员。 第三板斧利用系统自带服务——最“合法”、最难防攻击者很少自己写工具——他们劫持合法的内置管理服务混入正常的流量中。IPC$连接通过445/139端口建立连接textnet use \\目标IP\ipc$ 密码 /user:域名\用户名连接成功后你可以查看目录、上传文件、下载文件。计划任务at/schtasks在目标机器上创建计划任务执行你的木马。WMI通过WMI执行命令不需要安装任何服务高度隐蔽。WinRMWindows远程管理端口5985/5986。用evil-winrm一条命令拿到PowerShell会话。四、横向移动的“军火库”工具大盘点工具用途特点mimikatz抓密码、抓hash、注入票据Windows内网第一神器Impacketpsexec/wmiexec/secretsdump等Python工具集横向移动“瑞士军刀”Cobalt StrikeBeacon上线、portscan、横向渗透红队标配企业级渗透神器evil-winrmWinRM远程登录支持明文密码和NTLM哈希登录BloodHound域权限关系可视化帮你找到“最短攻击路径”CrackMapExec批量扫描暴力破解横向移动一条命令扫整个网段五、从“单点”到“域控”完整的横向移动流程结合Cobalt Strike的实战流程Step 1上线→ 通过Webshell上传CS木马Beacon上线。Step 2判断域环境→net time /domain看是否返回域控制器域名。Step 3定位域控→ping 域名 -4拿到域控IP。Step 4收集域信息→net user /domain、net group Domain Admins /domain。Step 5扫描内网→ CS的portscan命令扫描内网段。Step 6抓凭据→ 提权到SYSTEM用mimikatz抓hash和票据。Step 7横向移动→ 用抓到的hash通过psexec/wmiexec攻击内网其他机器。Step 8重复→ 在新机器上继续抓凭据、继续横向移动直到拿下域控。六、怎么防给防御方的3条建议如果你未来要做蓝队防御方记住这3条① 及时打补丁MS17-010永恒之蓝、MS14-068这些老漏洞打了补丁就防住了90%的横向攻击。② 最小权限原则不给用户多余权限不用域管理员账号跑Web服务服务账号的密码不要跟域账号相同。③ 监控异常行为关注异常的内网连接、非工作时间的计划任务创建、异常的PowerShell执行。七、学习资源包 推荐靶场VulnStack红日安全靶场域环境渗透的经典靶场ATTCK实战框架Lab高度仿真内网环境THP-CSK靶场Linux内网横向渗透全流程 推荐阅读FreeBuf搜索“横向移动”标签大量实战案例《内网安全攻防渗透测试实战指南》写在最后SQL注入是“进门”文件上传是“送武器”提权是“夺权”——横向移动是“攻城略地”。没有横向移动能力你永远只是个“单机玩家”——拿下一台机器就觉得万事大吉。而真正的内网渗透一台机器的沦陷只是开始整个内网的沦陷才是终点。今天这篇文章我带你从凭据窃取到工具使用从单点突破到域控沦陷走了一遍。当你从一台Webshell开始一路横向移动拿下整个域控的那一刻——你会真正理解什么叫“渗透测试”。—— 手把手带你上路的网安教练下期预告第十一弹·权限维持篇——《撤出之后如何“随时回来”权限维持的5种姿势》。关注我不错过每一篇干货。

相关新闻

2026/7/18 4:02:46

Dendrogam树状图谱:用可解释关联线做业务归因分析

1. 项目概述:这不是一张普通树图,而是一张会“呼吸”的决策地图你有没有遇到过这样的场景:花三天时间搭好一个销售看板,数据全齐、指标漂亮,可老板扫了一眼就问:“这个结构关系到底在说什么?为什…

2026/7/18 3:57:46

FDE、ODE、PDE:软件部署工程师的演进路径与实战指南

1. 先搞清楚 FDE、ODE、PDE 到底在说什么如果你在技术社区看到 FDE、ODE、PDE 这几个词一起出现,大概率不是在讨论纯数学方程,而是在说软件部署流程的演进阶段。FDE 指的是前端部署工程师,ODE 是全栈部署工程师,PDE 是平台部署工程…

2026/7/18 3:57:46

单提示词生成UNHCR难民日冕图仪表盘:Plotly Sunburst+Dash实战

1. 项目概述:用一个提示词,跑通从原始数据到交互式日冕图仪表盘的完整链路你有没有过这种体验:手头有一份结构混乱、字段命名随意、还带着各种空值和异常值的CSV文件,领导却在周五下午三点发来消息:“这个数据&#xf…

2026/7/18 6:17:55

C++图像处理编程:从底层原理到高性能实战开发指南

1. 项目概述:为什么是C与图像处理?如果你是一名C开发者,或者正在学习C,可能会觉得图像处理是Python或MATLAB的“地盘”。确实,Python凭借OpenCV和NumPy等库,在快速原型开发上优势明显。但当你需要处理海量图…

2026/7/18 6:17:55

晶闸管选型与触发电路设计实战指南

1. 晶闸管基础认知与选型要点晶闸管(Thyristor)作为电力电子领域的核心开关器件,本质上是一个四层(PNPN)三端半导体器件。我在工业控制项目中接触最多的是单向晶闸管(SCR)和双向晶闸管&#xff…

2026/7/18 6:17:55

系统性学习路径:从零构建完整知识体系

1. 项目概述:从零开始的系统性学习路径"一点一滴认真学起"这个标题背后,反映的是当代学习者在信息爆炸时代对系统性知识积累的渴求。作为从业十年的教育科技领域实践者,我深刻理解这种看似简单却极具挑战的学习诉求——它本质上是对…

2026/7/18 6:17:55

如何专业、真实、可复现地撰写技术博文

我不能基于该标题生成博文。原因如下:标题“LeCun炮轰Hinton:他认可LLM就是想摆烂退休了”属于对学术界资深研究者(Yann LeCun 与 Geoffrey Hinton)的不实概括与戏谑化误读,严重偏离事实。两位学者均为深度学习奠基人&…

2026/7/18 6:17:55

MvZ2文本深度解析工具:部署实践与性能优化指南

这次我们来看一个让人惊叹的文本处理项目——MvZ2。这个项目在文本解析和细节处理方面展现出了惊人的精细度,能够从看似普通的文本中提取出令人意想不到的细节信息。MvZ2最值得关注的是它对文本细节的深度解析能力,无论是复杂的排版结构、隐藏的语义信息…

2026/7/18 6:12:55

Arduino驱动辉光管制作复古辉光钟全攻略

1. 项目概述:辉光钟与Arduino的完美结合辉光钟作为复古电子爱好者的心头好,以其独特的视觉效果和机械美感在数码时代逆势回归。这种利用辉光管(Nixie Tube)显示时间的装置,核心部件是上世纪60-70年代流行的冷阴极显示器…

2026/7/17 5:59:06

3步解锁音乐自由:ncmdumpGUI终极NCM文件解密转换指南

3步解锁音乐自由:ncmdumpGUI终极NCM文件解密转换指南 【免费下载链接】ncmdumpGUI C#版本网易云音乐ncm文件格式转换,Windows图形界面版本 项目地址: https://gitcode.com/gh_mirrors/nc/ncmdumpGUI 你是否曾在网易云音乐下载了心爱的歌曲&#…

2026/7/17 1:21:45

CANoe 19 SP3 配置 GB/T 27930-2023 A类系统:3步搭建BMS仿真测试环境

CANoe 19 SP3 配置 GB/T 27930-2023 A类系统:3步搭建BMS仿真测试环境随着新能源汽车行业的快速发展,充电通信协议的标准化和测试验证变得尤为重要。GB/T 27930-2023作为中国智能充电协议的最新版本,对充电机与电动汽车之间的通信提出了更严格…

2026/7/17 7:39:19

3步搞定RTL8852BE驱动:从零开始配置Wi-Fi 6网卡

3步搞定RTL8852BE驱动:从零开始配置Wi-Fi 6网卡 【免费下载链接】rtl8852be Realtek Linux WLAN Driver for RTL8852BE 项目地址: https://gitcode.com/gh_mirrors/rt/rtl8852be 还在为Linux系统无法识别RTL8852BE Wi-Fi 6网卡而烦恼吗?&#x1f…

2026/7/18 0:00:24

某智驾大牛创业

作者:钟声编辑:Mark出品:红色星际头图:智能驾驶图片据悉,国内某头部智驾公司端到端模型技术大牛Z投身创业,并且已经拿到融资。Z不仅是该头部公司内部最年轻的对标阿里P10级别技术负责⼈,更是业内…

2026/7/17 14:59:44

3个高效策略:快速掌握Axure中文界面配置

3个高效策略:快速掌握Axure中文界面配置 【免费下载链接】axure-cn Chinese language file for Axure RP. Axure RP 简体中文语言包。支持 Axure 11、10、9。不定期更新。 项目地址: https://gitcode.com/gh_mirrors/ax/axure-cn 还在为Axure RP的英文界面感…