1. 内网渗透技术全景解析
刚入行那会儿,我总以为网络安全就是防火墙配置和病毒查杀,直到第一次参与企业红蓝对抗演练,才发现内网渗透才是真正考验技术深度的战场。那次我拿着扫描器在DMZ区转悠了两小时毫无收获,而资深工程师仅用一条简单的NTLM中继就拿到了域控权限——这个教训让我明白,内网渗透不是工具堆砌,而是对网络架构、协议原理和防御弱点的系统性认知。
现代企业内网早已不是简单的几台服务器加交换机,而是包含AD域控、文件服务器、数据库集群、虚拟化平台等数十种组件的复杂生态。攻击者一旦突破边界防护,面对的就是拓扑结构未知、安全设备林立的"黑暗森林"。这时候,掌握内网渗透的思维方法论比会使用某个漏洞利用工具重要十倍。
2. 内网环境核心特征剖析
2.1 典型企业网络分层架构
成熟企业的内网通常呈现三层金字塔结构:
- 接入层:员工办公终端、打印机等IoT设备,采用802.1X认证或MAC白名单
- 汇聚层:部门级文件服务器、内部应用系统,通常部署基础ACL策略
- 核心层:域控制器、邮件系统、ERP等关键业务,往往存在跨VLAN通信需求
某次渗透测试中,我们发现某制造企业的PLC控制系统竟与财务系统处于同一VLAN,这种架构缺陷直接导致通过工控设备跳板获取了SAP系统的管理权限。
2.2 微软Active Directory的攻防焦点
AD域是现代企业内网的中枢神经系统,其安全机制包含几个关键点:
- Kerberos认证:TGT票据的黄金生命周期(默认10小时)
- NTLM认证:Net-NTLMv2哈希的中继攻击面
- 组策略对象:GPO推送的登录脚本执行权限
- 信任关系:跨域信任中的SID过滤机制
记得有次通过SPN扫描发现某服务账户配置了弱密码,利用Kerberoasting攻击获取该账户哈希后,发现其被添加到域控的Backup Operators组——这个权限组合最终让我们拿到了整个域的SYSTEM权限。
3. 内网渗透关键技术矩阵
3.1 信息收集方法论
内网信息收集不是简单的IP扫描,而是立体化的情报体系建设:
bash复制# 基础网络拓扑探测
arp-scan -l --interface=eth0
nmap -sn 192.168.1.0/24
# AD域信息枚举
ldapsearch -H ldap://dc01 -x -b "DC=corp,DC=local"
Get-NetComputer -OperatingSystem "*server*" | Select-Object name
曾遇到某企业部署了Cisco ISE进行网络准入控制,但通过CDP协议泄露的交换机信息中发现了未加密的管理VLAN,这个突破口让我们绕过了所有终端安全防护。
3.2 横向移动技术链
内网渗透的本质是权限提升与信任关系利用的叠加:
| 技术手段 | 依赖条件 | 典型防御措施 |
|---|---|---|
| Pass-the-Hash | 本地管理员权限 | Credential Guard |
| DCSync攻击 | 域账户复制权限 | Protected Users组 |
| 打印机漏洞利用 | Spooler服务启用 | 服务禁用+端口过滤 |
| WS-Management滥用 | WinRM服务开放 | 证书认证+IP限制 |
去年某次项目中,我们通过PetitPotam攻击强制域控向我们的服务器发起NTLM认证,配合预先配置的NTLM中继,仅用15分钟就完成了从普通域账户到域管理员的全流程突破。
4. 防御体系对抗策略
4.1 现代EDR的绕过艺术
主流终端检测响应(EDR)系统通常监控以下行为:
- 可疑进程注入(如notepad.exe加载恶意DLL)
- 非常规父进程派生(如svchost.exe启动powershell)
- 敏感API调用序列(如VirtualAlloc→WriteProcessMemory→CreateRemoteThread)
实战中我们发现,通过以下组合技可有效规避检测:
- 使用Process Doppelgänging技术进行进程镂空
- 通过GUI自动化工具模拟合法用户操作
- 利用合法数字签名程序的反射加载
4.2 网络流量伪装方案
企业级流量检测设备通常关注:
- 非常规端口上的协议通信(如3389端口上的HTTP流量)
- DNS隧道特征(长域名、高频查询)
- 加密流量的熵值异常
我们开发的自定义C2通道采用:
- 基于Cloudflare Workers的HTTPS前端
- 流量时序随机化算法
- 协议模仿(如伪装成Teams更新流量)
5. 渗透测试实战要点
5.1 权限维持的隐蔽艺术
后门部署需要考虑:
- 触发器多样性(登录事件、计划任务、WMI事件订阅)
- 执行上下文(SYSTEM、NETWORK SERVICE、IIS APPPOOL)
- 持久化位置(注册表Run键、启动文件夹、服务DLL劫持)
某次红队行动中,我们将后门注入到Windows Defender的MPCmdRun.exe中,利用其合法的数字签名和自动更新机制,存活了整整三个月未被发现。
5.2 痕迹清理黄金法则
操作完成后必须处理:
- 日志清除(安全日志、PowerShell转录日志、防火墙日志)
- 文件时间戳修改(创建/修改/访问时间)
- 内存痕迹清理(卸载恶意DLL、释放注入代码)
有个经典案例:攻击者虽然清除了事件日志,但忘了处理NTFS USN日志,最终通过$J流文件还原了整个攻击过程的时间线。
6. 企业级防御建议
6.1 网络架构加固方案
- 实施零信任网络分段(至少划分10个安全区域)
- 关键系统部署双因素认证(如智能卡+PIN码)
- 配置LAPS管理本地管理员密码
6.2 安全监控增强措施
- 部署SACL审计策略监控敏感操作
- 配置SIEM关联分析(如异常时间登录+敏感文件访问)
- 实施网络流量基线分析
某金融客户在部署了Windows Event Forwarding后,成功检测到攻击者尝试dump LSASS进程的行为,因为WEF配置了进程创建事件的实时转发。
内网渗透的本质是认知对抗,了解防御方的监控盲点比掌握十个0day更有价值。每次测试结束我都会做两件事:复盘防御体系的突破路径,思考如果是真实攻击该如何做得更隐蔽——这种攻防思维的正向循环,才是安全工程师真正的核心竞争力。