# 內網滲透的過程是什么
## 引言
內網滲透(Internal Network Penetration)是安全測試中模擬攻擊者突破邊界防御后,在內部網絡橫向移動并獲取核心資產的過程。其目標在于發現企業內網的安全隱患,提升整體防御能力。本文將系統介紹內網滲透的標準流程與技術要點。
---
## 一、前期準備階段
### 1. 信息收集
- **網絡拓撲探測**
通過掃描工具(如Nmap、Masscan)識別內網IP段、存活主機、開放端口及服務類型。
- **資產指紋識別**
利用工具(如Fofa、Shodan)收集操作系統版本、中間件信息、域名等關鍵數據。
### 2. 權限獲取
- **漏洞利用**
針對暴露的服務(如SMB、RDP)嘗試漏洞攻擊(如永恒之藍、弱口令爆破)。
- **社會工程學**
通過釣魚郵件或偽造身份獲取初始訪問權限(如獲取員工VPN憑證)。
---
## 二、橫向移動階段
### 1. 權限維持
- **后門植入**
部署WebShell、C2通道(如Cobalt Strike)或計劃任務實現持久化。
- **憑證竊取**
使用Mimikatz抓取內存密碼或導出域內Hash(NTML/Kerberos)。
### 2. 內網偵察
- **域環境分析**
通過`nltest`、`BloodHound`工具繪制域信任關系,定位域控服務器。
- **敏感數據定位**
搜索文件服務器、數據庫中的配置文件、備份文件等。
---
## 三、權限提升階段
### 1. 本地提權
- **內核漏洞利用**
檢測系統補丁情況,利用未修復漏洞(如CVE-2021-3156)。
- **服務配置濫用**
利用高權限服務(如Docker組權限、Windows計劃任務)獲取SYSTEM/root權限。
### 2. 域權限提升
- **黃金票據攻擊**
偽造Kerberos TGT票據獲取域管理員權限。
- **ACL濫用**
利用域對象的錯誤權限配置(如GenericAll權限)接管目標賬戶。
---
## 四、數據獲取與清理
### 1. 敏感數據收集
- **數據庫脫庫**
通過SQL注入或直接連接導出業務數據。
- **日志竊取**
獲取安全設備日志以分析防御策略。
### 2. 痕跡清除
- **日志擦除**
刪除Windows事件日志(`wevtutil`)或Linux歷史命令。
- **反取證措施**
使用時間戳修改工具(如Timestomp)掩蓋文件操作記錄。
---
## 五、防御建議
1. **網絡分段**:嚴格劃分VLAN,限制橫向通信。
2. **最小權限原則**:禁用域賬戶的非必要權限。
3. **監控與響應**:部署EDR/XDR工具檢測異常行為。
4. **定期演練**:通過紅藍對抗檢驗內網防御體系。
---
## 結語
內網滲透是攻防對抗的核心場景,攻擊者通過層層突破獲取關鍵資產。企業需結合ATT&CK框架持續優化防御策略,實現從"邊界防護"到"縱深防御"的升級。
