上篇文章你提权到了root/administrator以为自己“毕业”了。真相是单台服务器的沦陷在真正的内网渗透里连“开始”都算不上。全文约2100字阅读约7分钟。今天带你从“单点突破”走向“全网控制”。一、先讲一个真实故事一台OA服务器的“多米诺骨牌”2026年7月FreeBuf上有一篇红队复盘文章火了。攻击者从一个OA系统的文件上传漏洞起步拿到了一台JSP的Webshell。这台机器是双网卡——一张网卡连外网另一张网卡连着内网10.10.0.0/16段。从外网跳进内网的“桥头堡”就这么被攻破了。上线Cobalt Strike之后攻击者做了几件事用mimikatz抓本机hash——抓到了一个域账号的hash。查域信息——确认这台机器在域里。用抓到的hash对内网进行哈希传递攻击。接下来的事就像多米诺骨牌一台→两台→十台→整个域。11天后域里200多台机器的hash全部导出krbtgt票据伪造完毕域控完全沦陷。而整个过程中攻击者用到的每一样东西都是公开工具——mimikatz、Cobalt Strike、Impacket。这就是横向移动的威力一台服务器的沦陷可以变成整个内网的沦陷。二、横向移动到底是什么说人话官方定义横向移动Lateral Movement是指攻击者在成功入侵一台主机后以该主机为跳板在网络内部进一步扩展访问权限、控制其他系统或服务的过程。说人话就一句话从“打单机”变成“打联网”。想象一下你是一个小偷撬开了小区保安亭的门拿到了第一台服务器。保安亭里有整个小区的门禁卡和钥匙密码、hash、票据。你用这些钥匙挨家挨户打开其他住户的门——这就是横向移动。没有横向移动你永远停留在“单机沦陷”阶段无法形成真正的内网威胁。内网渗透的基础流程通常分为五个阶段信息收集 → 漏洞扫描 → 漏洞利用 → 权限维持 → 横向移动。你之前学的SQL注入、文件上传、提权都是为了给横向移动铺路。三、横向移动的“三板斧”凭据为王横向移动的核心只有一句话谁掌握了凭据谁就掌握了内网。Windows内网里身份认证主要靠两样东西NTLM哈希和Kerberos票据。你不需要知道明文密码——拿到哈希或票据就等于拿到了“通行证”。 第一板斧PTH哈希传递攻击——最暴力、最常用哈希传递攻击Pass-the-Hash简称PTH是Windows环境下最核心、最常用的横向移动手段。核心逻辑极其简单无需获取目标账户的明文密码仅通过NTLM哈希就能完成Windows的NTLM认证实现远程访问。怎么拿到哈希mimikatz——神器中的神器。在提权到SYSTEM之后执行textmimikatz.exe privilege::debug sekurlsa::logonpasswords exit所有登录过这台机器的账号密码和哈希全部暴露在你面前。拿到哈希之后怎么用Impacket工具包里的psexec.py或wmiexec.pytextpsexec.py 域名/用户名目标IP -hashes :NTLM哈希一条命令远程执行目标机器直接上线。 第二板斧PTT票据传递攻击——更隐蔽、更高级票据传递攻击Pass-the-Ticket简称PTT利用的是Kerberos协议——它比PTH更隐蔽而且不需要管理员权限。Kerberos认证用的是TGTTicket Granting Ticket——拿到了TGT就等于拿到了“域通行证”。三种经典玩法黄金票据Golden Ticket伪造krbtgt账号的TGT——你可以在域里任意伪造任何用户的身份。白银票据Silver Ticket伪造特定服务的TGS——可以访问特定服务不用接触域控。MS14-068利用微软漏洞直接伪造TGT——2014年的老漏洞至今仍有大量域环境没打补丁。怎么用mimikatz注入票据textmimikatz.exe kerberos::ptt 票据.kirbi票据注入内存你瞬间变成了域管理员。 第三板斧利用系统自带服务——最“合法”、最难防攻击者很少自己写工具——他们劫持合法的内置管理服务混入正常的流量中。IPC$连接通过445/139端口建立连接textnet use \\目标IP\ipc$ 密码 /user:域名\用户名连接成功后你可以查看目录、上传文件、下载文件。计划任务at/schtasks在目标机器上创建计划任务执行你的木马。WMI通过WMI执行命令不需要安装任何服务高度隐蔽。WinRMWindows远程管理端口5985/5986。用evil-winrm一条命令拿到PowerShell会话。四、横向移动的“军火库”工具大盘点工具用途特点mimikatz抓密码、抓hash、注入票据Windows内网第一神器Impacketpsexec/wmiexec/secretsdump等Python工具集横向移动“瑞士军刀”Cobalt StrikeBeacon上线、portscan、横向渗透红队标配企业级渗透神器evil-winrmWinRM远程登录支持明文密码和NTLM哈希登录BloodHound域权限关系可视化帮你找到“最短攻击路径”CrackMapExec批量扫描暴力破解横向移动一条命令扫整个网段五、从“单点”到“域控”完整的横向移动流程结合Cobalt Strike的实战流程Step 1上线→ 通过Webshell上传CS木马Beacon上线。Step 2判断域环境→net time /domain看是否返回域控制器域名。Step 3定位域控→ping 域名 -4拿到域控IP。Step 4收集域信息→net user /domain、net group Domain Admins /domain。Step 5扫描内网→ CS的portscan命令扫描内网段。Step 6抓凭据→ 提权到SYSTEM用mimikatz抓hash和票据。Step 7横向移动→ 用抓到的hash通过psexec/wmiexec攻击内网其他机器。Step 8重复→ 在新机器上继续抓凭据、继续横向移动直到拿下域控。六、怎么防给防御方的3条建议如果你未来要做蓝队防御方记住这3条① 及时打补丁MS17-010永恒之蓝、MS14-068这些老漏洞打了补丁就防住了90%的横向攻击。② 最小权限原则不给用户多余权限不用域管理员账号跑Web服务服务账号的密码不要跟域账号相同。③ 监控异常行为关注异常的内网连接、非工作时间的计划任务创建、异常的PowerShell执行。七、学习资源包 推荐靶场VulnStack红日安全靶场域环境渗透的经典靶场ATTCK实战框架Lab高度仿真内网环境THP-CSK靶场Linux内网横向渗透全流程 推荐阅读FreeBuf搜索“横向移动”标签大量实战案例《内网安全攻防渗透测试实战指南》写在最后SQL注入是“进门”文件上传是“送武器”提权是“夺权”——横向移动是“攻城略地”。没有横向移动能力你永远只是个“单机玩家”——拿下一台机器就觉得万事大吉。而真正的内网渗透一台机器的沦陷只是开始整个内网的沦陷才是终点。今天这篇文章我带你从凭据窃取到工具使用从单点突破到域控沦陷走了一遍。当你从一台Webshell开始一路横向移动拿下整个域控的那一刻——你会真正理解什么叫“渗透测试”。—— 手把手带你上路的网安教练下期预告第十一弹·权限维持篇——《撤出之后如何“随时回来”权限维持的5种姿势》。关注我不错过每一篇干货。