内网安全实战指南：从信息收集到域控渗透

1. 内网安全基础概念解析

第一次接触内网安全时，我被各种专业术语搞得晕头转向。直到有次参与企业内网渗透测试项目，才真正理解这些概念的实际意义。内网（Local Area Network）就像是一个封闭的社区，里面的设备可以自由互通，但与外界隔离。这个社区有两种管理模式：工作组和域环境。

工作组模式特别像居民自治的小区，每家每户自己管理自己的安全。我在测试中发现，只要接入网络，就能轻易访问其他工作组成员的共享资源。曾经遇到一个案例，某公司财务部的工作组电脑因为弱密码，导致工资表被内部员工随意查看。这种模式适合20人以下的小团队，但超过这个规模就会显得杂乱无章。

域环境则像配备了专业物业的高档小区。这里的"物业"就是域控制器（Domain Controller），它掌握着所有住户的钥匙。我常用这个类比向新人解释：当你尝试登录域内电脑时，系统会先向DC"门卫"核实你的身份。去年的一次渗透测试中，我们就是通过伪造身份验证绕过了这个检查机制。

活动目录（Active Directory）是域环境的灵魂所在。它像一本详细的住户花名册，记录着所有用户、电脑和权限关系。有次客户要求检查AD安全性，我们发现其组织结构竟然直接反映了公司部门架构，这给攻击者提供了极大的便利。

2. 信息收集实战技巧

信息收集就像侦探破案前的线索梳理，往往决定着后续渗透的成败。我习惯将收集工作分为四个维度：网络拓扑、主机信息、用户数据和业务系统。

网络拓扑侦察从最基础的ipconfig /all开始。这个命令不仅能看本机IP，更重要的是DNS后缀信息。记得有次测试，客户自以为隐藏很好的子域，就因为DNS配置不当而暴露。进阶技巧是结合netstat -ano查看网络连接，曾经通过这个发现了一台被遗漏的数据库服务器。

主机信息收集我常用systeminfo配合wmic命令。有次在银行系统里，wmic product get name,version这条命令帮我们发现了过期的防病毒软件，成为后续攻击的突破口。对于服务枚举，net start看似简单，但配合tasklist查看进程，能发现很多隐藏服务。

用户数据收集是重头戏。我整理了个实用命令清单：

net user /domain # 枚举域用户 net group "Domain Admins" /domain # 定位域管理员 whoami /priv # 检查当前权限

去年某次红队行动中，我们就是通过net group "Enterprise Admins" /domain发现了过度授权的问题。

业务系统识别需要更多手动操作。除了常规的端口扫描，我习惯检查：

• 浏览器历史记录（通过取证工具）
• 共享文件夹内容
• 计划任务列表
• 安装的第三方软件

3. 域渗透核心工具详解

说到内网渗透，mimikatz绝对是绕不开的神器。这个法国人开发的小工具，让我又爱又恨。爱的是它强大的凭证提取能力，恨的是现在越来越多的防护软件都会重点盯防它。

mimikatz的实战要点：

privilege::debug # 先提权 sekurlsa::logonpasswords # 提取内存密码 lsadump::sam # 获取SAM数据库

记得有次在政府系统测试，我们用它成功提取出域管理员的明文密码。但要注意，新版Windows默认不再保存明文密码，这时候就要配合其他工具了。

Lazagne是我的秘密武器。这个开源工具支持50+种应用的凭证提取，从浏览器到邮件客户端无所不包。最惊艳的是它连WiFi密码都能挖出来：

laZagne.exe all # 扫描所有支持的模块

上个月在某企业内网，我们用它收集到了VPN凭证，直接打通了通往核心区的通道。

PowerShell Empire是进阶选择。它的优势在于无文件攻击，直接内存运行。我常用的模块：

usemodule situational_awareness/network/powerview # 域信息收集 usemodule collection/webcam # 摄像头控制（需权限）

不过现在很多EDR都能检测Empire的特征，需要自己做代码混淆。

4. 横向移动与权限提升

真正的内网渗透高手，都擅长"借力打力"。横向移动就是利用已控制的机器作为跳板，逐步扩大战果。

PTH攻击（Pass the Hash）是我最常用的技术。不需要知道明文密码，只要有NTLM hash就能横行内网：

sekurlsa::pth /user:admin /domain:corp /ntlm:xxxxxx

去年在某金融机构，我们就是用这个方法，从一台普通办公电脑逐步拿下了整个域。

票据传递（Golden Ticket）更隐蔽。通过伪造Kerberos票据，可以长期维持高权限：

kerberos::golden /user:fake /domain:xxx /sid:xxx /krbtgt:xxx /ptt

这个技术的难点在于获取krbtgt账户的hash，通常需要域管权限。

权限提升的套路就更多了。我总结了几种常见场景：

• 服务配置不当：通过sc qc检查服务权限
• 计划任务漏洞：schtasks /query查看任务
• 组策略漏洞：gpresult /h report.html分析策略

有次在医疗机构，我们发现某台服务器上的备份服务以SYSTEM权限运行，通过替换备份脚本轻松提权。

5. 域控攻防实战案例

域控制器（DC）是整个内网的"大脑"，拿下它就意味着控制了整个网络。但现代企业的DC防护越来越严密，需要更精细的攻击手法。

DCSync攻击是我近年常用的技术。它模拟域控制器间的同步行为，直接拖取用户凭证：

lsadump::dcsync /domain:xxx /user:xxx

这个攻击需要域管理员或特定权限，但一旦成功危害极大。防御方法是严格控制具备复制权限的账户。

NTLM中继在特定环境下效果惊人。我们曾利用打印机漏洞（MS-RPRN）触发DC认证，然后中继到其他服务器：

ntlmrelayx.py -t ldap://dc01 --escalate-user

这个案例后来被客户写进了安全培训教材。

防御建议来自实战教训：

1. 启用LSA保护（防mimikatz）
2. 限制域管理员登录范围
3. 监控异常复制请求
4. 定期轮换krbtgt密码

最近遇到个有趣案例：客户部署了全流量检测，但忽略了DNS隧道。我们通过封装数据在DNS查询中，成功绕过了所有防护。