初探内网渗透手法及蓝队视角下的应急响应

内网渗透常见利用手法包括信息收集、IPC连接、密码喷洒、计划任务执行、WMI、PsExec、SMB、WinRM等。

信息收集命令包括net computers、net domain、net dclist、net sessions等。

IPC连接需要目标机器的账号和密码，且目标机器需开启admin$共享和139、445端口。

密码喷洒是对多个域内用户使用同一密码进行枚举，避免引起警觉。

计划任务可以通过schtasks命令创建和执行，需注意相关事件ID的排查。

WMI提供隐蔽的命令执行方式，利用条件包括开放135端口和admin$共享。

PsExec和SMB服务可用于远程执行命令，需开放445端口并获取目标机器的账号和密码。

WinRM用于通过WSMan与远程计算机建立会话，需开启WinRM服务并使用相应端口。