一、信息收集階段
| 操作 | 工具 / 命令 | 說明 |
| 系統基礎信息采集 | systeminfo、whoami /user | 查看系統版本、用戶 SID 等 |
| 域內用戶 / 組查詢 | net user /domain、net group "domain admins" /domain | 列出域用戶及管理員組 |
| 域控及網絡結構探測 | nltest /dsgetdc、ipconfig /all | 獲取域控 IP、網絡配置 |
| 內網資產掃描 | fscan、kscan、nmap | 掃描端口、服務及漏洞(如 MS17-010) |
| 配置文件搜索 | find / -name "*.properties" | 查找含數據庫密碼的配置文件 |
二、憑證獲取階段
| 操作 | 工具 / 命令 | 說明 |
| 內存密碼抓取 | mimikatz # sekurlsa::logonpasswords | 提取 NTLM 哈希 / 明文密碼 |
| 瀏覽器密碼導出 | SharpWeb、HackBrowserData | 導出 Chrome/Firefox 保存的憑證 |
| 數據庫密碼收集 | 配置文件解析工具 | 從.yml/.ini中提取數據庫密碼 |
| 哈希傳遞攻擊(PTH) | psexec.py -hashes、mimikatz | 使用 NTLM 哈希模擬登錄 |
| 密鑰傳遞攻擊(PTK) | mimikatz # sekurlsa::ekeys | 導出 AES 密鑰用于高權限認證 |
三、橫向移動階段
| 操作 | 工具 / 命令 | 說明 |
| 漏洞利用(SMB 協議) | ms17-010.exe、永恒之藍EXP | 利用 MS17-010 漏洞獲取系統權限 |
| 票據傳遞攻擊(PTT) | ms14-068.exe?+ mimikatz | 偽造 Kerberos 票據提升至域管理員 |
| 遠程服務創建 | psexec、smbexec、Impacket | 通過 SMB 協議遠程執行命令 |
| WMI/DCOM 無文件攻擊 | wmiexec.py、dcomexec.py | 利用 Windows 管理接口遠程執行 |
| 計劃任務執行 | atexec、schtasks | 創建計劃任務觸發惡意程序 |
四、權限維持階段
| 操作 | 工具 / 命令 | 說明 |
| 后門賬戶創建 | net user backdoor /add | 添加域管理員賬戶 |
| 注冊表自啟項植入 | reg add HKLM\Run | 設置惡意程序開機自啟 |
| 黃金票據 / 白銀票據生成 | mimikatz # kerberos::golden | 偽造持久化 Kerberos 票據 |
| 組策略(GPO)滲透 | GPO 部署腳本 | 通過域策略分發惡意軟件 |
| 域控哈希導出 | secretsdump.py、mimikatz # lsadump::dcsync | 導出域內所有用戶哈希 |
五、防御繞過階段
| 操作 | 工具 / 命令 | 說明 |
| 流量混淆與代理 | proxychains、加密隧道 | 通過代理隱藏真實 IP |
| 工具免殺處理 | garble、UPX | 混淆 Go 語言工具或壓縮二進制文件 |
| 合法協議偽裝 | httpx、curl | 通過 HTTP/HTTPS 封裝攻擊流量 |
| 低噪音掃描 | 自定義參數的fscan(如-np -nobr) | 減少掃描特征避免被 HIDS 檢測 |
關鍵工具速查表
| 工具名稱 | 核心功能 |
| mimikatz | 密碼抓取、票據偽造(PTH/PTT/PTK)、權限提升 |
| Impacket 套件 | 含psexec.py/wmiexec.py等橫向移動工具 |
| fscan/kscan | 內網資產掃描、漏洞檢測(MS17-010、弱口令) |
| MS14-068.exe | 利用 Kerberos 漏洞偽造票據,提升域權限 |
| secretsdump.py | 導出域控用戶哈希,支持 DCSync 攻擊 |
)
)
)
:DTLS)
)
