内网横向移动关键技术解析

在一次真实的渗透演练中，安全团队在获取普通员工的 NTLM 哈希后，立刻锁定了横向移动的两大突破口：利用管理员共享ADMIN$进行远程文件写入，和通过 PowerShell Remoting 直接执行命令。两者的差异在于前者依赖 SMB 协议的默认端口 445，后者则走 5985/5986，往往在防火墙规则松散的子网里更容易被忽视。

凭证抓取与再利用的关键技术

凭证本身的价值在于它们能在不同身份验证协议之间“跳槽”。Mimikatz 的 sekurlsa::logonpasswords 能一次性导出内存中的明文密码、LM/NTLM 哈希以及 Kerberos 票据；随后，sekurlsa::pth 让攻击者在不触发二次认证的情况下，以目标用户身份直接登录。值得注意的是，Kerberos 票据的有效期通常为 10 分钟，若在此窗口期内完成 kerberos::ptt，便可在整个 AD 域内横向扩散。

利用 Windows 管理共享的隐蔽路径

管理员共享ADMIN$背后隐藏的是系统根目录的写权限。通过net use 192.168.10.45ADMIN$ /user:corpsvc_account password挂载后，攻击者可以直接将payload.ps1写入C:WindowsTemp，随后用psexec或wmic启动。此类手法往往绕过传统的防病毒检测，因为文件本身并未经过网络下载。

PowerShell Remoting 与 WMI 的协同使用

PowerShell Remoting（WSMan）在 5985/5986 端口上提供了基于 WinRM 的远程执行能力。配合Invoke-Command -ScriptBlock { … }，可以在目标机器上直接运行任意脚本。若目标机器禁用了 WinRM，WMI 仍可作为后备：wmic /node:"192.168.10.78" /user:"corpadmin" process call create "cmd.exe /c whoami"同样达成代码注入。两者的共同点是均不依赖传统的 SMB 传输，从而规避了SMB signing的检测。

横向移动的链式攻击模型

真正的横向移动往往是“链式”进行的：先通过低权限机器抓取哈希 → 用 Pass‑the‑Hash 在同网段的服务器上打开ADMIN$ → 将 PowerShell 脚本植入 → 再利用 Kerberos 票据提升到域管理员。每一步都需要精准的权限验证信息，否则链路会在网络监控或行为分析系统前断裂。正因如此，安全团队在日志中寻找的是“异常的身份切换频率”以及“跨子网的 SMB 访问”。

防御视角的关键监控点

从防御角度来看，以下三点最值得投入：
1. 实时审计net use和psexec等系统调用；
2. 对 Kerberos 票据的异常请求（如来源 IP 与用户所属子网不匹配）进行告警；
3. 限制ADMIN$的访问，仅对已批准的服务账号开放。若这三环紧密相扣，攻击者的横向移动路径将被迫在“暗箱”中摸索。