横向移动中的PtH与PtT实战区别

在企业内部网络被突破后,攻击者往往面临的第一道选择,是把已经获取的凭证向其他主机“搬运”。这一步叫横向移动,而其中最常见的两种手段——PtH(Pass‑the‑Hash)和PtT(Pass‑the‑Ticket)——在实际操作里差异颇大。 PtH:凭证哈希的直接复用 PtH 依赖于 NTLM 哈希本身。攻击者使用 mimikatz s...
阅读全文

如何利用黄金票据拿下域控?

在一次针对金融行业的内部渗透演练中,红队在获取域管理员凭证后并没有直接尝试登录,而是先验证了是否能够复制 krbtgt 哈希并伪造黄金票据,这一步骤往往决定了能否“一键”接管整个 Active Directory。 黄金票据的本质 黄金票据(Golden Ticket)本质上是一张使用域根密钥(krbtgt)签名的 Kerberos ...
阅读全文

如何构建一个企业级的零信任安全架构?

一次突如其来的内部泄密让某大型制造企业的首席信息官彻夜难眠,事后审计显示攻击者在获得普通员工凭证后,轻易横向渗透至核心系统。面对这种“已在内部”的威胁,零信任不再是概念,而是必须落地的防线。 零信任的核心原则 零信任的思维模式可以归结为四大原则:永不默认信任、最小权限、持续验证以及可视化审计。任何访问请求,无论来源是数据中心、云端还是...
阅读全文

VLAN/VPC隔离过时了吗?

在大型虚拟化数据中心里,管理员往往把数千台虚拟机塞进几个VLAN或VPC,然后靠防火墙的三层规则维持所谓的“内部安全”。当一次横向渗透把一台机器控制住,攻击者可以在同一广播域内自由横跳,这种局面让人不禁怀疑:传统的二层隔离真的还能满足现代的安全需求吗? 静态划分的局限 VLAN和VPC的划分本质上是一次性配置的网络段。一次部署后,除非...
阅读全文

SUID提权原理与实战技巧

在Linux系统中,SUID(Set‑User‑ID)位是一把双刃剑:它让普通用户在执行特定二进制文件时获得文件所有者的权限,恰恰也是提权攻击的常用入口。了解其内部机制,才能在渗透测试中快速定位并利用这些“特权文件”。 SUID的工作原理 当可执行文件的权限位被标记为rwsr-xr-x(即chmod 4755),内核在fork子进程后...
阅读全文

如何正确选择nmap扫描类型以避开防火墙检测?

在渗透测试或红队演练中,nmap 的扫描方式往往是第一道“隐形盾”。如果防火墙把握住了扫描特征,日志立即暴露,后续的横向移动便会被阻断。选择恰当的扫描类型,就是在“不被看见”的前提下获取端口信息的关键。 防火墙的检测手段 典型的防火墙会结合状态检测(stateful inspection)和包过滤规则,对 SYN、ACK、FIN 等标...
阅读全文

Shiro漏洞应急防护最佳实践

在一次内部渗透演练中,安全团队捕获到带有异常 rememberMe Cookie 的请求,经过解密后发现填充字节被精心构造,随即触发了 Shiro 的反序列化链。该案例提醒我们:即使是成熟的权限框架,也可能因加密实现的细节疏漏而成为攻击入口。 快速定位风险点 利用日志聚合平台检索 Shiro 关键字,锁定所有包含 rememberMe...
阅读全文

如何利用Padding Oracle复现Shiro RCE

在一次内部渗透演练中,团队偶然发现 Shiro 的 rememberMe Cookie 竟能被当作加密的 Padding Oracle 入口,进而触发反序列化链执行系统命令。回想起当时的调试画面:抓包工具里那枚被篡改的 Base64 字符串,配合手工填充的十六进制块,最终让 Tomcat 的 servlet 抛出异常,却悄悄把恶意对象...
阅读全文

未来NTLM枚举工具发展趋势

NTLM 仍在企业内部网络中悄然流通,尤其是混合云环境里,旧有的认证链路常被忽视。研究人员在一次内部渗透演练中,意外发现一个仅用几行 Python 代码就能枚出域名、服务器名的轻量级脚本,引发了对工具迭代速度的深思。 AI 与机器学习的渗透 过去的枚举工具大多靠硬编码字典和规则匹配,而现在,模型可以从数十万次真实握手中学习辨识异常 N...
阅读全文

自动化脚本将主导资产扫描趋势

在大型网络环境中,资产分布往往跨越多个子网、云平台与容器集群,手工维护扫描清单已经无法满足响应速度的需求。近期一次内部渗透测试,安全团队在 48 小时内需要覆盖 12 万台主机,传统的 Nmap+手工脚本组合频频因路径冲突、权限限制而中断,导致关键资产错失曝光窗口。 自动化脚本的核心价值 自动化脚本通过 API 调用、动态 IP 生成...
阅读全文