一次完美的内网域渗透，如何找到最有效的攻击路线，进行精准域内打击

絕刀狂花

发布时间：2025-09-22 09:18:01

1002人浏览过

来源于php中文网

原创

大家好，这里是渗透攻击红队的第 69 篇文章，本公众号会记录一些红队攻击的案例，不定时更新！请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关！

在进行域渗透时，手动梳理域内环境需要耗费大量精力，此时利用 SharpHound 对当前机器环境进行分析，就能迅速找到最接近域管的攻击路径，实现快速精准的打击！

一次完美的内网域渗透

前言

首先，我们获取了一个命令执行的点，发现当前跳板机器存在域环境：

一次完美的内网域渗透，如何找到最有效的攻击路线，进行精准域内打击通过 tasklist 命令未发现有 AV，并且当前机器是出网机器：

一次完美的内网域渗透，如何找到最有效的攻击路线，进行精准域内打击检查当前系统，发现是 Windows Server 2016:

一次完美的内网域渗透，如何找到最有效的攻击路线，进行精准域内打击由于当前是 Windows Server 2016 的服务器，肯定有微软自带的 Windows Defender，所以我们简单进行了一次免杀操作，上线到 CobaltStrike：

一次完美的内网域渗透，如何找到最有效的攻击路线，进行精准域内打击然后通过 ms16-075 漏洞提升到 SYSTEM 权限：

一次完美的内网域渗透，如何找到最有效的攻击路线，进行精准域内打击内网信息搜集

首先，我们查看一下域管分别是哪些用户：

一次完美的内网域渗透，如何找到最有效的攻击路线，进行精准域内打击然后查看域控列表，并通过 ping 域控机器名获取域控的 IP：

一次完美的内网域渗透，如何找到最有效的攻击路线，进行精准域内打击发现域控在 10 段，而当前跳板机器的 IP 是 192.168.54.200，推测可能不止一个网段的机器存活！

接下来我们先抓取一波 hash：（Windows Server 2016 无法抓取明文密码）

一次完美的内网域渗透，如何找到最有效的攻击路线，进行精准域内打击这台机器似乎已经被“大哥”访问过，可能是修改了注册表，这才让我们抓到了明文和其他 hash，之后可以用来进行 PTH 攻击。

然后我们搜集了当前机器的其他密码，发现 Oracle 的密码：

一次完美的内网域渗透，如何找到最有效的攻击路线，进行精准域内打击还抓取了其他浏览器的密码：

一次完美的内网域渗透，如何找到最有效的攻击路线，进行精准域内打击整理了这些密码后，通过域外对域内当前 C 段进行横向喷射：

一次完美的内网域渗透，如何找到最有效的攻击路线，进行精准域内打击成功攻破了几台机器，先保留这些成果。

Neo-reGeorg + Socks = 进入目标内网漫游

为了扩大战果，我们需要建立一个隧道进入目标内网，但发现常用的 frp、nps 都无法使用，推测目标做了限制，后来通过 http 隧道成功进入目标内网！

reGeorg 是 reDuh 的升级版。主要通过 http 或 https 隧道将内网服务器的端口转发到本地。

项目地址：https://www.php.cn/link/4718d3908442b0f7b4533b1c366bdbe6

首先设置密码，生成 tunnel 的 webshell，并上传到目标服务器：

python neoreg.py generate -k pass

一次完美的内网域渗透，如何找到最有效的攻击路线，进行精准域内打击然后在 VPS 上运行，将目标内网流量通过 http 转发到 VPS 的 1080 端口：

python neoreg.py -k pass -u http://saulgoodman.cn//wls-wsat/tuu.jsp

一次完美的内网域渗透，如何找到最有效的攻击路线，进行精准域内打击接着在本地 VPS 上设置代理：

绘蛙

电商场景的AI创作平台，无需高薪聘请商拍和文案团队，使用绘蛙即可低成本、批量创作优质的商拍图、种草文案

下载

一次完美的内网域渗透，如何找到最有效的攻击路线，进行精准域内打击说明代理设置成功！注意这里只能是本地代理，客户端代理到服务器的 socks 端口是无法成功的！为了方便操作，我在 Windows 上重新设置了代理：

一次完美的内网域渗透，如何找到最有效的攻击路线，进行精准域内打击现在我们可以进入目标内网了，由于当前目标机器时间是凌晨，且确认无人使用远程桌面，我直接登陆目标远程桌面：

一次完美的内网域渗透，如何找到最有效的攻击路线，进行精准域内打击然后在目标桌面上进行信息搜集，发现有 SSH 登陆：

一次完美的内网域渗透，如何找到最有效的攻击路线，进行精准域内打击成功攻破了内网的其他机器：

一次完美的内网域渗透，如何找到最有效的攻击路线，进行精准域内打击然后换个用户登陆到 200 这台机器：（发现有大哥扫描过了，资产还挺多）

一次完美的内网域渗透，如何找到最有效的攻击路线，进行精准域内打击发现这些机器可能是 docker 容器，没有太大价值！资产收集的差不多了，该搜集域内的信息了！

SharpHound 对域内进行信息搜集

通过 SharpHound 对域内进行信息搜集：

execute-assembly /root/桌面/nw/SharpHound.exe -c all

一次完美的内网域渗透，如何找到最有效的攻击路线，进行精准域内打击然后将收集到的数据下载到本地进行分析：

一次完美的内网域渗透，如何找到最有效的攻击路线，进行精准域内打击可以看到当前只有四个域管理员：

一次完美的内网域渗透，如何找到最有效的攻击路线，进行精准域内打击由于当前跳板机器是 DRAxx，我们就分析 DRAxx 的环境：

一次完美的内网域渗透，如何找到最有效的攻击路线，进行精准域内打击可以看到当前机器 DRAxx 可以到达 ERIDANUS.xxxx.xxx 机器，思路就是我们可以通过 ERIDANUS 获得这台机器的权限，然后再拿到最近的域管！那么我们直接通过之前抓到的 ali.hamzeh 密码去横向 wmi 到 ERIDANUS：

proxychains python3 wmiexec.py -shell-type cmd xxxx/ali.hamzeh:passsword@192.168.54.53 -codec gbk

一次完美的内网域渗透，如何找到最有效的攻击路线，进行精准域内打击然后直接通过 Powershell 上线到 CobaltStrike：（这个 socks 代理有点卡，又重开了一个 wmi 窗口）

一次完美的内网域渗透，如何找到最有效的攻击路线，进行精准域内打击由于当前 ERIDANUS 机器没有 AV，直接进行提权：

一次完美的内网域渗透，如何找到最有效的攻击路线，进行精准域内打击通过查看当前 ERIDANUS 机器，的确如 SharpHound 分析的那样有一个 ebrahim 域管的进程：

一次完美的内网域渗透，如何找到最有效的攻击路线，进行精准域内打击直接注入域管进程上线到 CobaltStrike：

一次完美的内网域渗透，如何找到最有效的攻击路线，进行精准域内打击成功获得域管权限！为了便于区分，绿色 beacon 表示域管！之后直接先抓取域管密码 hash：

一次完美的内网域渗透，如何找到最有效的攻击路线，进行精准域内打击有了域管的 hash 后，直接可以 PTH 域控：

proxychains python3 wmiexec.py -shell-type powershell -hashes :84d562d8c6f5xxxxxxxxxx xxxxx/ebrahim@192.168.10.10 -codec gbk

一次完美的内网域渗透，如何找到最有效的攻击路线，进行精准域内打击然后还是老样子，直接通过 Powershell 上线到 CobaltStrike：（还是老问题，socks 代理卡，重开了一个窗口）

一次完美的内网域渗透，如何找到最有效的攻击路线，进行精准域内打击成功获得域控 AD :192.168.10.10 的控制权

一次完美的内网域渗透，如何找到最有效的攻击路线，进行精准域内打击然后通过 PTH 也成功获得域控 INF-AD-2：192.168.10.200 的控制权

一次完美的内网域渗透，如何找到最有效的攻击路线，进行精准域内打击最后通过 hashdump 命令获取整个域用户的 hash：

一次完美的内网域渗透，如何找到最有效的攻击路线，进行精准域内打击嗯，就到这吧。

一次完美的内网域渗透，如何找到最有效的攻击路线，进行精准域内打击

Win10远程桌面出现“身份验证错误，CredSSP加密Oracle修正”解决方法

局域网中连接windows环境下的oracle数据库

do格式文件怎么打开？

Java之入门程序及注释

推荐一个基于SpringBoot + Mybatis + Vue的代码生成器

相关专题

github中文官网入口 github中文版官网网页进入

github中文官网入口https://docs.github.com/zh/get-started，GitHub 是一种基于云的平台，可在其中存储、共享并与他人一起编写代码。通过将代码存储在GitHub 上的“存储库”中，你可以： “展示或共享”你的工作。持续“跟踪和管理”对代码的更改。

362

2026.01.21

windows查看端口占用情况

Windows端口可以认为是计算机与外界通讯交流的出入口。逻辑意义上的端口一般是指TCP/IP协议中的端口，端口号的范围从0到65535，比如用于浏览网页服务的80端口，用于FTP服务的21端口等等。怎么查看windows端口占用情况呢？php中文网给大家带来了相关的教程以及文章，欢迎大家前来阅读学习。

688

2023.07.26

查看端口占用情况windows

端口占用是指与端口关联的软件占用端口而使得其他应用程序无法使用这些端口，端口占用问题是计算机系统编程领域的一个常见问题，端口占用的根本原因可能是操作系统的一些错误，服务器也可能会出现端口占用问题。php中文网给大家带来了相关的教程以及文章，欢迎大家前来学习阅读。

1126

2023.07.27

windows照片无法显示

当我们尝试打开一张图片时，可能会出现一个错误提示，提示说"Windows照片查看器无法显示此图片，因为计算机上的可用内存不足"，本专题为大家提供windows照片无法显示相关的文章，帮助大家解决该问题。

799

2023.08.01

windows查看端口被占用的情况

windows查看端口被占用的情况的方法：1、使用Windows自带的资源监视器；2、使用命令提示符查看端口信息；3、使用任务管理器查看占用端口的进程。本专题为大家提供windows查看端口被占用的情况的相关的文章、下载、课程内容，供大家免费下载体验。

454

2023.08.02

windows无法访问共享电脑

在现代社会中，共享电脑是办公室和家庭的重要组成部分。然而，有时我们可能会遇到Windows无法访问共享电脑的问题。这个问题可能会导致数据无法共享，影响工作和生活的正常进行。php中文网给大家带来了相关的教程以及文章，欢迎大家前来阅读学习。

2351

2023.08.08

windows自动更新

Windows操作系统的自动更新功能可以确保系统及时获取最新的补丁和安全更新，以提高系统的稳定性和安全性。然而，有时候我们可能希望暂时或永久地关闭Windows的自动更新功能。php中文网给大家带来了相关的教程以及文章，欢迎大家前来学习阅读。

823

2023.08.10

windows boot manager

windows boot manager无法开机的解决方法：1、系统文件损坏，使用Windows安装光盘或USB启动盘进入恢复环境，选择修复计算机，然后选择自动修复；2、引导顺序错误，进入恢复环境，选择命令提示符，输入命令"bootrec /fixboot"和"bootrec /fixmbr"，然后重新启动计算机；3、硬件问题，使用硬盘检测工具进行扫描和修复；4、重装操作系统。本专题还提供其他解决

1579

2023.08.28

c++ 根号

本专题整合了c++根号相关教程，阅读专题下面的文章了解更多详细内容。

2026.01.23

热门下载

网站特效

网站源码

网站素材

前端模板