企业渗透测试全流程解析：从外网突破到内网横向的实战指南-育师

企业渗透测试全流程解析：从外网突破到内网横向的实战指南

在网络安全领域，企业渗透测试是检验企业整体安全防护能力的核心手段，其核心价值在于“模拟真实攻击，提前发现风险”。与单一的Web漏洞挖掘不同，企业渗透测试覆盖“外网资产探测→边界突破→内网横向移动→核心资产控制→漏洞闭环”全链路，而内网渗透作为其中最复杂、最关键的环节，直接决定了测试的深度与效果。

本文将聚焦企业渗透测试的全流程，重点拆解内网渗透的核心技术、工具使用与实战技巧，同时梳理企业级防御环境下的对抗思路，帮助安全从业者建立完整的企业渗透认知体系，提升实战能力。

一、先理清：企业渗透与内网渗透的核心关联

很多新手会混淆“企业渗透”与“内网渗透”的概念，其实两者是“包含与被包含”的关系，核心定位差异显著：

企业渗透测试：以企业整体网络架构为目标，覆盖外网边界（Web应用、服务器、网络设备）、内网分区（办公网、业务网、核心数据库区）、云环境等全资产，核心目标是评估企业整体安全防护体系的有效性。
内网渗透：是企业渗透的核心子环节，特指突破外网边界后，在企业内网环境中进行的横向移动、权限提升、核心资产挖掘与控制，核心目标是获取内网核心资源（如域控、核心业务数据、财务系统）的控制权。

核心逻辑：企业渗透的难点在内网，内网渗透的关键在“隐蔽性”与“权限复用”——既要避免触发企业EDR、SIEM等防御设备告警，又要高效利用已获取的凭证实现全内网突破。

二、企业渗透测试全流程：从外网到内网的完整链路

专业的企业渗透测试需遵循“合规授权→信息收集→边界突破→内网渗透→收尾总结”的标准化流程，每个环节环环相扣，缺一不可。

战前准备：合规与范围确认（基础前提）

企业渗透涉及真实业务环境，合规性是首要前提，避免法律风险：

明确授权范围：签订正式授权协议，明确测试的IP段、域名、系统、内网分区，严格界定“禁止测试项”（如拒绝服务攻击、核心业务中断操作、数据篡改）；
确认测试边界：明确是否允许物理接入、是否允许横向移动、是否需要规避特定防御设备（如生产环境的防火墙）；
准备测试环境：搭建攻击机（Kali Linux）、配置C2服务器（Cobalt Strike/Metasploit）、准备规避EDR的免杀 payload（如免杀exe、dll）。

外网信息收集：构建企业资产全景图

外网信息收集的充分程度，直接决定边界突破的效率，核心目标是“找到外网可突破的入口”：

公开信息挖掘：通过FOFA/Shodan/ZoomEye收集企业外网资产（子域名、服务器、网络设备），利用OneForAll批量获取子域名，筛选存活资产；
资产详情探测：用Nmap扫描存活资产的端口与服务版本（如“nmap -sV -p- -O 目标IP”），重点关注高危服务（如未授权的Redis、弱口令的SSH/RDP、旧版本Tomcat）；
Web应用分析：对企业官网、业务系统、管理后台等Web资产，收集框架版本（ThinkPHP、Spring Boot）、中间件版本（Nginx、Apache），排查常见漏洞（SQL注入、文件上传、未授权访问）。

实战技巧：优先攻击“边缘资产”（如企业办公OA、对外合作系统），这类资产防护相对薄弱，更容易突破外网边界。

边界突破：打通内网入口（关键跳板）

边界突破的核心是“获取一台可被控的内网主机”，作为后续内网渗透的跳板，常见突破路径有3类：

（1）Web应用漏洞突破

最常见的突破方式，利用Web应用漏洞（如文件上传、远程代码执行）获取服务器权限：

典型漏洞：ThinkPHP远程代码执行、Log4j2漏洞、Struts2漏洞、文件上传漏洞植入Webshell；
操作步骤：利用漏洞执行命令→获取服务器Shell→提权至root/administrator→部署免杀后门（如Cobalt Strike beacon）→探查服务器内网IP段。

（2）服务器弱口令/配置缺陷突破

企业内网服务器常存在弱口令、配置错误等问题，可直接获取权限：

典型场景：SSH弱口令（root/123456）、RDP弱口令、Redis未授权访问、MySQL空密码；
工具推荐：Hydra（暴力破解）、Medusa（多协议破解）、Redis未授权利用脚本。

（3）网络设备漏洞突破

针对企业外网路由器、防火墙等设备，利用设备漏洞或弱口令突破：

典型场景：华为/华三防火墙弱口令、路由器命令注入漏洞、VPN账号弱口令；
注意事项：网络设备突破后可直接获取内网路由表，为后续内网横向提供便利，但需避免影响设备正常运行。

内网渗透：核心环节（横向移动+权限提升）

突破外网边界后，正式进入内网渗透阶段，核心流程为“内网探测→凭证窃取→横向移动→域控突破→核心资产控制”，每个步骤需注重隐蔽性。

（1）内网环境探测：摸清内网“地形”

获取跳板机权限后，首先探查内网环境，明确内网架构：

网段探测：用fping、arp-scan等工具扫描内网存活主机（如“fping -g 192.168.1.0/24”），确定内网IP段规划；
端口与服务探测：用Masscan快速扫描内网主机开放端口，重点关注445（SMB）、3389（RDP）、5900（VNC）、8080（应用服务）等端口；
域环境探测：判断内网是否存在域控（如“net time /domain”查看域时间服务器、“nltest /dclist:domain”查看域控列表），域控是内网渗透的核心目标。

（2）凭证窃取：内网渗透的“核心燃料”

内网主机多使用域账号登录，窃取凭证后可实现“权限复用”，常见方法：

哈希抓取：用Mimikatz抓取Windows主机的LSASS进程哈希（NTLM哈希），命令：mimikatz.exe “sekurlsa::logonpasswords” exit；
凭证缓存：用LaZagne抓取浏览器保存的密码、WiFi密码、数据库连接密码；
欺骗获取：在跳板机部署Responder，利用LLMNR/NBNS欺骗获取内网主机的NTLM哈希；
漏洞获取：利用MS17-010等漏洞获取主机权限后，直接读取SAM文件提取哈希。

（3）横向移动：扩大内网控制范围

利用窃取的凭证，在了你好那行主机间横向移动，核心方法有3类：

Pass the Hash（哈希传递）：无需明文密码，直接利用NTLM哈希登录内网主机，工具：PsExec、Cobalt Strike的pth模块，命令：psexec.exe \192.168.1.100 -u domain\user -p hash -accepteula cmd.exe；
Pass the Ticket（票据传递）：利用Kerberos票据实现横向移动，适用于域环境，工具：Mimikatz（黄金票据、白银票据）；
WMI/SMB横向：通过WMI或SMB协议远程执行命令，工具：wmiexec.vbs、impacket-wmiexec。

避坑提醒：横向移动时优先选择“无文件攻击”（如WMI、PowerShell），避免上传大量exe文件触发EDR告警；同时控制操作频率，避免批量扫描导致内网瘫痪。

（4）域控突破：获取内网最高权限

域控是企业内网的核心，控制域控即可控制整个域环境内的所有主机，常见突破方法：

利用域管理员凭证：若窃取到域管理员（Domain Admin）的哈希或明文密码，直接通过psexec、RDP登录域控；
Kerberos漏洞攻击：利用MS14-068、CVE-2021-42287/CVE-2021-42278等Kerberos相关漏洞，生成黄金票据或白银票据登录域控；
域内信息泄露：通过BloodHound分析域内权限关系，找到域控的“最短攻击路径”（如普通用户可控制的服务器存在域管理员登录记录）。

（5）核心资产控制：完成测试目标

突破域控后，重点定位核心资产并验证风险：