HVV内网渗透基础知识

扫码加入知识星球：网络安全攻防（HVV）

下载全套资料

攻防演练中的内网渗透往往需要在有限时间内突破防线并达成攻击目标，红队通常会优先选择隐蔽性高的入口。初期可能通过钓鱼邮件、VPN漏洞或暴露在公网的Web应用获取据点，例如利用OA系统的未授权上传漏洞植入Webshell，随后快速部署轻量级代理工具（如reGeorg、Neo-reGeorg）建立隧道穿透边界，避免触发安全设备的异常流量告警。内网信息收集阶段会结合Adfind、BloodHound等工具自动化分析域环境拓扑，快速定位高价值目标如域管账户、共享目录服务器或运维管理平台。

横向移动时倾向于“低噪音”手法，例如利用Windows系统的MS-RPC、WinRM等原生协议执行远程命令，或通过SMB中继攻击绕过部分认证机制。针对Linux系统，可能利用Ansible、SaltStack等运维工具配置不当获取跳板权限。在域渗透场景中，红队常通过ntds.dit文件脱取、黄金票据伪造或Kerberos委派滥用扩大控制范围，同时利用DLL劫持、服务路径权限漏洞进行本地提权，尽可能减少上传第三方工具产生的文件落地行为。

权限维持环节会植入多样化后门，例如在Windows计划任务、WMI事件订阅或Linux crontab中植入定时反弹Shell，同时在核心网络设备、数据库服务器部署隐蔽隧道。对抗安全监测时，红队可能采用域内合法账户登录、白名单签名的C2工具（如Cobalt Strike Malleable C2）混淆流量特征，或通过ICMP隧道、DNS隐蔽信道绕过流量审计。针对EDR等终端防护产品，可能利用进程注入、内存加载无文件马等技术降低检测概率。

数据窃取阶段需平衡效率与隐蔽性，通常先通过扫描定位NAS、SVN/Git仓库、数据库备份文件，使用压缩分包、修改文件时间戳等方式规避DLP系统。最终攻击路径清理时会选择性删除日志（如Windows事件日志4672、4688，Linux的auth.log），并针对防御方常见的溯源手段（如IP追溯、文件哈希比对）提前部署反制措施，例如使用代理链跳转、动态更换C2域名等。整个过程需与蓝队实时对抗，依据防守方响应动态调整攻击链，确保在演练规则下最大化攻击效果。