文章总结： 本文系统梳理了红队域内渗透的100种实战手法，涵盖信息收集、边界突破、凭证窃取、权限提升、横向移动等全生命周期。重点介绍了利用Windows原生命令、PowerView、BloodHound等工具进行域环境探测的方法，并提供了外网打点、哈希抓取等可操作技术要点，适用于企业安全测试与防护体系建设。 综合评分： 85 文章分类： 红队,内网渗透,渗透测试,WEB安全,安全工具

---

红队常用的100种域内渗透手法，建议收藏

原创

小智 小智

智榜样网络安全学习中心

2026年4月20日 14:10 湖南

在小说阅读器读本章

去阅读

往期推荐

【渗透测试】30 种一句话木马免杀方法

红队在 Windows 日志的痕迹清理过程，蓝队溯源反制解决方案

Linux 系统权限维持之 SSH 后门

2026 hvv护网面经分享【硬核版】

宇宙最强渗透字典分享

Kali 2026.1 重磅发布！来看看都更新了什么

【内网渗透】土豆提权大汇总

2026最新SRC漏洞提交平台推荐，共100+个

免责声明

本文仅用于授权的企业安全测试、攻防研究与防护体系建设，严禁用于任何未授权的非法入侵行为。任何使用者违反国家法律法规造成的后果，由使用者自行承担，作者与平台不承担任何法律责任。

一、概述与实验环境说明

域渗透是针对 Windows Active Directory（活动目录） 企业内网环境的攻防技术，也是红队攻防演练中的核心环节。企业内网绝大多数业务系统、主机、账号都纳入 AD 域统一管理，一旦突破域环境，即可控制企业全域的 IT 资产。本文覆盖从初始信息收集、边界打点、凭证窃取、权限提升、横向移动、域控权限获取、权限维持到痕迹清理的全生命周期，整理 100 个可落地的实战手法，适配企业内网主流的 AD 环境，同时配套对应手法的适用场景与实操要点，帮助红队人员在合规范围内完成渗透测试，也帮助蓝队人员理解攻击手法，完善内网防护体系。

❝

Tips : 在文末可领取10套【域渗透靶机】奥

二、100 个域渗透实战手法

第一部分：域内信息收集手法（1-20）

1、 通过 Windows 原生 net 命令本地枚举域内基础信息，无需额外工具，执行 net user /domain 获取域内所有用户列表，net group "domain admins" /domain获取域管组成员，net view /domain获取域内所有主机列表，适用于刚拿到域内主机权限的初始信息收集，无文件落地，规避 EDR 检测。

2、 通过 dsquery 命令查询 AD 活动目录对象，Windows 原生工具，执行 dsquery user 获取所有域用户，dsquery computer获取所有域内主机，dsquery ou 获取所有组织单元，dsquery group获取所有域内组，支持 LDAP 筛选语法，精准定位高权限用户与敏感主机。

3、 通过 ldp.exe 工具可视化查询 LDAP 目录服务，Windows 系统自带工具，无需上传，可连接域控制器的 389 端口，完整枚举域内所有用户、组、计算机、ACL、委派等信息，适用于需要可视化梳理域内结构的场景。

4、 通过 PowerView 脚本实现全量域内信息枚举，PowerShell 生态常用的域信息收集脚本，可获取域内用户登录信息、组策略对象、ACL 权限、委派配置、SPN 服务主体名称等全量信息，适用于深度梳理域内攻击路径的场景。

5、 通过 SharpView 工具实现 .NET 版本的域信息收集，无 PowerShell 执行痕迹，可绕过 PowerShell 日志审计与执行限制，功能与 PowerView 完全一致，适用于目标主机禁用 PowerShell 的场景。

6、 通过 BloodHound 绘制域内攻击路径图，红队域渗透标配工具，通过 SharpHound 采集器收集域内 ACL、组、用户、委派、会话等信息，导入 BloodHound 后自动生成可视化攻击路径，一键定位从当前用户到域控的最短攻击路径。

7、 通过 ADExplorer 工具离线浏览 AD 数据库，微软官方 Sysinternals 工具，可连接域控制器导出完整的 AD 数据库，离线分析域内所有对象信息，无需持续在线连接域控，规避流量检测。

8、 通过 nltest 命令枚举域信任关系，Windows 原生命令，执行 nltest /domain_trusts 获取当前域的所有信任关系，包括父域、子域、外部信任、林信任，快速定位跨域攻击的入口。

9、 通过 gpresult 命令枚举组策略对象，Windows 原生命令，执行 gpresult /r /scope computer 获取当前主机应用的组策略，gpresult /h gpo.html 导出完整的组策略报告，可从中获取密码策略、登录脚本、软件部署、防火墙规则等敏感信息。

10、 通过 sc 命令与 tasklist 命令枚举域内主机的服务与进程，定位高价值软件，比如杀毒软件、备份软件、数据库、运维管理系统，从中寻找提权与凭证窃取的突破口。

11、 通过 quser、qwinsta 命令枚举当前主机与远程主机的登录会话，查看是否有域管用户在线，在线会话可通过令牌窃取直接获取域管权限，是横向移动的高价值目标。

12、 通过 setspn 命令枚举域内所有 SPN 服务主体名称，Windows 原生命令，执行 setspn -T test.local -Q */* 获取域内所有 SPN，SPN 对应域内的各类服务，是 Kerberoast 攻击的基础，可从中定位可攻击的服务账号。

13、 通过 certutil 命令枚举 ADCS 证书服务信息，Windows 原生命令，执行 certutil -config - -ping 查看当前域的 ADCS 证书服务器，certutil -CAinfo获取 CA 证书信息，是 ADCS 相关攻击的前置信息收集步骤。

14、 通过 PowerShell 的 ActiveDirectory 模块查询 AD 信息，域控制器默认安装，域内主机可手动导入，支持完整的 AD 对象查询、筛选、导出，可精准定位高权限用户、未过期的用户账号、禁用的账号等信息。

15、 通过 dir 命令枚举域内 SYSVOL 共享目录，域内所有主机都可访问的 SYSVOL 共享，存储了域内所有组策略的脚本、配置文件，其中往往包含域用户的明文密码、加密的凭据，是域渗透中高价值的信息收集点。

16、 通过 net use 命令枚举域内共享文件夹，执行 net view \\主机名 查看目标主机的共享目录，net use * \\主机名\共享名 挂载共享，批量枚举域内主机的共享文件，从中获取敏感文档、备份文件、账号密码等信息。

17、 通过 dnsdump 与 nslookup 枚举域内 DNS 记录，Windows 原生 nslookup 工具，可查询域控制器的地址、邮件服务器、子域、主机的 A/AAAA 记录，定位域内未公开的高价值主机，比如备份服务器、运维管理服务器。

18、 通过 wevtutil 命令分析 Windows 安全日志，从登录日志、进程创建日志中，获取域内用户的登录习惯、常用主机、管理账号的登录地址，梳理域内管理链路，定位横向移动的目标。

19、 通过 Get-ADUser 命令筛选域内高风险用户，比如设置了密码永不过期的用户、密码未更改超过 180 天的用户、具备 SPN 的服务账号、域管权限的用户，精准定位暴力破解与口令喷洒的目标。

20、 通过 Ping Sweep 与 ARP 扫描探测域内存活主机，使用 nmap、fscan 等工具快速扫描域内网段，定位所有存活主机、开放的端口、运行的服务，绘制域内网络拓扑，为横向移动提供目标列表。

第二部分：外网边界突破与初始打点手法（21-30）

21、 通过 OWAS/Exchange 服务口令喷洒获取初始权限，针对企业外网暴露的 Outlook Web App 邮件服务，使用收集到的域用户名列表，配合弱口令字典进行口令喷洒，成功后可获取域用户凭据，直接进入域内环境。

22、 通过 VPN 服务口令喷洒与漏洞利用突破边界，针对企业外网的 SSL VPN、IPSec VPN 服务，利用弱口令、默认口令、已知的 VPN 产品漏洞（如 CVE-2019-19781）获取访问权限，接入企业内网，直接获得域内网络访问权限。

23、 通过 Web 应用漏洞打点获取服务器权限，针对企业外网暴露的 Web 站点，利用 SQL 注入、文件上传、命令执行、SSRF 等高危漏洞，获取 Web 服务器的系统权限，若 Web 服务器加入了域，即可直接获得域内主机的初始权限。

24、 通过钓鱼邮件获取初始权限，制作伪装成企业内部通知、发票、会议邀请的钓鱼邮件，附带恶意宏文档、恶意链接、可执行程序，诱导员工执行，获取员工主机的权限，员工主机加入域后即可进入域内环境。

25、 通过 RDP 服务口令喷洒与漏洞利用突破边界，针对外网暴露的 3389 远程桌面服务，利用弱口令、口令喷洒，或 BlueKeep 等 RDP 远程代码执行漏洞，获取 Windows 主机权限，若主机加入域，即可获得域内初始权限。

26、 通过 Redis 等未授权访问服务突破边界，针对外网暴露的 Redis、MongoDB、Elasticsearch 等未授权访问的数据库服务，利用主从复制、计划任务写入等方式获取服务器权限，进入内网环境。

27、 通过供应链攻击获取初始权限，针对企业使用的第三方软件、插件、运维工具，植入恶意代码，当企业内部主机安装或运行该软件时，获取主机权限，进入域内环境。

28、 通过 FTP/SMB 服务匿名访问突破边界，针对外网暴露的匿名 FTP、SMB 共享服务，获取企业内部的敏感文档、账号密码、配置文件，利用获取的凭据登录域内服务，获得初始权限。

29、 通过 Jenkins 等运维系统未授权访问突破边界，针对外网暴露的 Jenkins、GitLab、K8s Dashboard 等运维管理系统，利用未授权访问、默认口令、远程代码执行漏洞，获取服务器权限，进入内网环境。

30、 通过无线渗透接入企业内网，针对企业办公区的 WiFi 无线网络，利用 WiFi 密码破解、WPS 漏洞、Evil Twin 攻击等方式接入企业内网，直接获得域内网络访问权限，开展后续渗透。

第三部分：凭证窃取与哈希抓取手法（31-45）

31、 通过 mimikatz 抓取内存中的明文密码与 NTLM 哈希，域渗透标配工具，从 LSASS 进程内存中抓取当前登录用户的明文密码、NTLM 哈希、Kerberos 票据，支持本地管理员权限运行，是常用的凭证窃取手法。

32、 通过 Procdump + mimikatz 离线抓取凭证，规避 EDR 检测，先使用微软官方的 Procdump 工具导出 LSASS 进程的内存 dump 文件，将 dump 文件下载到本地，再用 mimikatz 离线解析凭证，避免恶意工具在目标主机上运行触发告警。

33、 通过 Rubeus 工具抓取与操作 Kerberos 票据，C# 编写的 Kerberos 票据操作工具，无 PowerShell 痕迹，可抓取内存中的 TGT、ST 票据，申请票据，进行 Pass the Ticket 票据传递攻击，适用于禁用 PowerShell 的环境。

34、 通过 SAM 与 SYSTEM 注册表 hive 导出本地账号哈希，Windows 原生命令即可实现，先执行 reg save HKLM\SAM SAM、reg save HKLM\SYSTEM SYSTEM 导出注册表文件，再用 mimikatz 或 samdump2 解析出本地所有用户的 NTLM 哈希，适用于无法在线抓取 LSASS 内存的场景。

35、 通过 NTDS.dit 文件导出全域所有用户哈希，NTDS.dit 是 AD 活动目录的数据库文件，存储在域控制器上，包含全域所有用户、计算机的 NTLM 哈希，可通过 vssadmin 创建卷影副本导出 NTDS.dit 与 SYSTEM hive，再用 secretsdump.py 解析出全域哈希，是域渗透中全面的凭证窃取手法。

36、 通过 secretsdump.py 远程导出域内主机哈希，Impacket 套件中的工具，使用本地管理员账号的 NTLM 哈希，通过 SMB 协议远程导出目标主机的 SAM 哈希，或域控制器的 NTDS.dit 哈希，无需在目标主机上传工具，规避终端检测。

37、 通过 LaZagne 工具全量抓取各类软件凭证，开源的凭证抓取工具，可抓取浏览器、FTP、SSH、RDP、数据库、邮箱客户端等各类软件保存的账号密码，适用于从员工主机中获取各类服务的凭据。

38、 通过 SharpDPAPI 工具解密 DPAPI 保护的凭证，C# 编写的 DPAPI 解密工具，可解密 Windows 系统中通过 DPAPI 加密的浏览器密码、WiFi 密码、证书、凭据管理器中的内容，无需管理员权限即可解密当前用户的加密数据。

39、 通过 Kerberos 票据导出与重用，从内存中导出域用户的 TGT 票据，通过 Pass the Ticket 攻击，在其他主机上重用该票据，无需知道用户的密码，即可访问该用户有权限的资源，规避密码修改带来的权限失效。

40、 通过 WMI 远程抓取目标主机凭证，使用 wmic 命令或 CIM 类，远程执行命令在目标主机上导出注册表 hive，或执行凭证抓取脚本，无需在目标主机上落地文件，规避终端检测。

41、 通过组策略首选项 GPP 密码解密，域内 SYSVOL 共享中的组策略首选项文件，会包含加密的本地管理员密码、域账号密码，微软公布了加密的私钥，可通过 gpp-decrypt 工具直接解密出明文密码，是域内常见的凭证泄露点。

42、 通过 RDP 会话劫持获取权限，使用 mimikatz 或 tscon 工具，劫持目标主机上已登录的用户的 RDP 会话，无需知道用户密码，即可直接获得该用户的桌面权限，包括域管用户的会话，直接获取高权限。

43、 通过 LSASS 内存 dump 的其他方式，比如使用 rundll32、comsvcs.dll 原生系统 dll 导出 LSASS 内存，执行命令 rundll32.exe comsvcs.dll, MiniDump 进程ID C:\lsass.dmp full，无需上传第三方工具，规避 EDR 检测。

44、 通过浏览器密码抓取，从 Chrome、Edge、Firefox 等浏览器中，解密保存的网站账号密码，包括企业内部管理系统、VPN、邮件系统的账号，获取更多的凭据，扩大攻击面。

45、 通过键盘记录器窃取明文密码，在员工主机上植入键盘记录器，记录用户输入的账号密码，包括域账号、邮箱、VPN 的密码，适用于无法直接抓取内存凭证的场景。

第四部分：本地权限提升手法（46-55）

46、 通过 Windows 系统内核漏洞提权，利用微软发布的 Windows 内核提权漏洞，比如 CVE-2021-16751 PrintNightmare、CVE-2023-28252、CVE-2024-21347 等，从普通用户权限直接提升到 System 权限，适用于未打补丁的 Windows 主机。

47、 通过错误配置的服务权限提权，当 Windows 服务的二进制文件路径具备 Users 组写入权限，或服务配置可被普通用户修改时，可替换服务的二进制文件，或修改服务的执行路径，重启服务后获得 System 权限，是 Windows 主机常见的提权手法。

48、 通过错误配置的注册表权限提权，当服务对应的注册表项具备普通用户修改权限时，可修改服务的 ImagePath 路径，指向恶意程序，重启服务后获得 System 权限；或修改系统启动项，实现开机自启提权。

49、 通过 AlwaysInstallElevated 策略提权，当组策略开启了 AlwaysInstallElevated，普通用户安装 MSI 安装包时会以 System 权限运行，可制作恶意 MSI 安装包，执行后直接获得 System 权限，是域内常见的错误配置提权手法。

50、 通过计划任务权限错误提权，当系统中的计划任务的执行脚本、二进制文件可被普通用户修改，或计划任务的配置可被普通用户修改时，可替换执行文件，或修改计划任务的执行命令，等待计划任务触发后获得高权限。

51、 通过 SUID/SGID 权限错误提权，针对域内的 Linux 主机，当可执行文件配置了 SUID 权限，所有者为 root 时，普通用户执行该文件可获得 root 权限，可通过 find / -perm -4000 命令查找这类文件，利用错误配置的 SUID 文件提权。

52、 通过 sudo 权限配置错误提权，针对域内的 Linux 主机，当普通用户的 sudo 权限配置了可执行的高危命令，比如 vim、bash、find、python 等，可通过 sudo 执行这些命令，直接从普通用户提升到 root 权限。

53、 通过数据库服务提权，当主机上运行的 MySQL、MSSQL 数据库以 System/root 权限运行，且获得了数据库的管理员权限时，可通过数据库的自定义函数、命令执行功能，执行系统命令，获得主机的高权限。

54、 通过令牌窃取提权，使用 mimikatz、incognito 工具，窃取系统中已存在的高权限令牌，比如域管用户的登录令牌、System 权限的令牌，模拟令牌执行命令，直接获得对应的高权限，无需知道密码。

55、 通过可信任的父进程绕过 UAC 提权，利用 Windows 系统中可信任的、自动绕过 UAC 的进程，比如 cmstp.exe、fodhelper.exe，通过修改注册表，让这些进程执行恶意命令，绕过 UAC 限制，从普通管理员提升到完整的 System 权限。

第五部分：内网横向移动手法（56-70）

56、 通过 Pass the Hash 哈希传递攻击横向移动，使用获取到的用户 NTLM 哈希，无需解密成明文密码，通过 SMB、WMI 等协议，远程登录目标主机，执行命令，是域内常用的横向移动手法，适用于知道用户哈希但不知道明文密码的场景。

57、 通过 Pass the Ticket 票据传递攻击横向移动，使用获取到的用户 Kerberos TGT/ST 票据，在本地导入后，无需用户密码，即可访问该票据对应的服务资源，比如目标主机的 CIFS 共享、WinRM 服务，规避 NTLM 认证的监控，是域内隐蔽的横向移动手法。

58、 通过 SMB 协议与 psexec 工具横向移动，使用 Sysinternals 的 psexec 工具，或 Impacket 套件的 psexec.py，通过合法的用户凭据，在目标主机上创建远程服务，执行系统命令，获得交互式 Shell，是经典的横向移动手法。

59、 通过 WMI 协议远程执行命令横向移动，Windows 原生支持的 WMI 协议，使用 wmic 命令、cscript 脚本，或 Impacket 的 wmiexec.py 工具，通过用户凭据远程在目标主机上执行命令，无需在目标主机上落地文件，且默认不会留下日志，隐蔽性强。

60、 通过 WinRM 协议横向移动，Windows 远程管理协议，使用原生的 winrs 命令，或 PowerShell 的 Invoke-Command 命令，远程在目标主机上执行命令，获得交互式 Shell，适用于开启了 WinRM 服务的域内主机，是企业内网常用的管理协议，流量不易被检测。

61、 通过 DCOM 分布式组件对象模型横向移动，利用 Windows 系统的 DCOM 组件，比如 Excel.Application、ShellBrowserWindow，通过合法凭据远程实例化 DCOM 对象，执行系统命令，无需开启额外服务，Windows 系统默认支持，隐蔽性极强。

62、 通过 SMB 共享文件挂载与计划任务横向移动，先将恶意脚本上传到目标主机的可写共享目录，再通过 schtasks 命令远程创建计划任务，执行共享目录中的恶意脚本，等待计划任务触发后获得目标主机的权限，规避直接的远程命令执行检测。

63、 通过 RDP 远程桌面横向移动，使用获取到的用户凭据，通过 3389 端口远程登录目标主机的桌面，获得完整的图形化操作权限，适用于需要图形化界面操作的场景，同时可劫持已登录的用户会话，无需密码。

64、 通过 SSH 协议横向移动，针对域内的 Linux 主机、开启了 SSH 服务的 Windows 主机，使用获取到的账号密码或 SSH 密钥，远程登录目标主机，执行命令，获得 Shell 权限，是跨平台横向移动的常用手法。

65、 通过 SQL Server 数据库链接横向移动，针对域内的 MSSQL 数据库，利用获取到的数据库权限，通过数据库的链接服务器功能，访问其他数据库服务器，执行系统命令，获取数据库服务器的主机权限，是针对企业内网数据库集群的横向移动手法。

66、 通过 Exchange 邮件服务器横向移动，针对域内的 Exchange 服务器，利用获取到的 Exchange 管理员权限，或 Exchange 相关漏洞，在邮件服务器上执行命令，获取权限，Exchange 服务器通常具备高权限，是域内横向移动的高价值目标。

67、 通过 ICMP、DNS、HTTP 隧道绕过内网防火墙横向移动，当内网防火墙限制了常见的横向端口时，可通过 ICMP 隧道、DNS 隧道、HTTP/S 隧道，将 Shell 流量封装在合法的协议中，绕过防火墙限制，访问隔离网段的主机，实现跨网段横向移动。

68、 通过 Socks 代理搭建内网穿透横向移动，在已控主机上搭建 Socks4/5 代理，将攻击机接入内网环境，直接访问内网所有存活主机，使用各类工具对内网主机进行扫描、漏洞利用、横向移动，是域渗透中必备的内网访问手法。

69、 通过域内主机的信任关系横向移动，利用主机间的本地管理员密码复用、共享的本地账号，从一台已控主机横向移动到其他使用相同密码的主机，扩大控制范围，是企业内网常见的横向移动突破口。

70、 通过打印服务漏洞横向移动，利用 Windows 打印服务的相关漏洞，比如 PrintNightmare、CVE-2024-21347，通过内网开放的打印服务端口，远程在目标主机上执行代码，获得权限，无需用户凭据，是无凭据横向移动的常用手法。

第六部分：域控权限获取手法（71-85）

71、 通过域管账号凭据直接登录域控，当通过凭证窃取、哈希抓取获得了域管账号的明文密码或 NTLM 哈希后，可通过哈希传递、票据传递、RDP、WinRM 等方式，直接登录域控制器，获得域控的最高权限，是直接的域控获取手法。

72、 通过 Kerberoast 攻击获取服务账号哈希，进而提权到域控，针对域内设置了 SPN 的服务账号，通过 Kerberos 协议申请该服务的 ST 票据，票据使用服务账号的 NTLM 哈希加密，可离线暴力破解票据，获得服务账号的明文密码，若服务账号具备域管权限，即可直接控制域控。

73、 通过 AS-REP Roasting 攻击获取域用户哈希，针对域内设置了 “不要求 Kerberos 预身份验证” 的用户，可直接向域控制器申请该用户的 AS-REP 数据包，数据包使用用户的 NTLM 哈希加密，可离线暴力破解，获得用户明文密码，若用户具备高权限，即可获取域控权限。

74、 通过白银票据攻击伪造服务票据访问域控，白银票据是伪造的 Kerberos ST 服务票据，使用服务账号的 NTLM 哈希加密，可直接伪造域控制器的 CIFS 服务、LDAP 服务的票据，无需向域控申请 TGT，直接访问域控的文件共享、LDAP 服务，获得域控权限。

75、 通过黄金票据攻击伪造 TGT 票据，获得全域权限，黄金票据是伪造的 Kerberos TGT 票据，使用 krbtgt 账号的 NTLM 哈希加密，可伪造任意域用户的 TGT 票据，包括域管用户，拥有黄金票据即可访问域内任意资源，获得全域的最高权限，是域内常用的权限维持手法。

76、 通过 MS14-068 漏洞伪造 Kerberos 票据提权，针对未打补丁的域控制器，利用 CVE-2014-6324 漏洞，普通域用户可向域控申请带有域管权限的 TGT 票据，无需域管凭据，直接从普通域用户提升到域管权限，获得域控控制权。

77、 通过 ACL 访问控制列表错误配置提权，当域内普通用户对域控对象、域管理员组、krbtgt 账号具备修改权限、添加用户权限、重置密码权限等高危 ACL 时，可直接修改域管账号密码、将自己添加到域管组，获得域控权限，是 BloodHound 常发现的攻击路径。

78、 通过基于资源的约束委派攻击提权，当域内主机的计算机账号配置了基于资源的约束委派，或普通用户具备修改主机对象的 msDS-AllowedToActOnBehalfOfOtherIdentity 属性的权限时，可伪造任意用户对该主机的服务票据，获得该主机的 System 权限，若目标是域控制器，即可直接获得域控权限。

79、 通过非约束委派攻击获取域管票据，当域内主机开启了非约束委派，域管用户登录该主机时，会将自己的 TGT 票据发送给该主机，可直接导出域管的 TGT 票据，通过票据传递攻击，访问域控，获得域控权限，是域内高风险的配置漏洞。

80、 通过约束委派攻击提权，当域内的用户或计算机账号配置了约束委派，允许委派到域控制器的 LDAP、CIFS 等服务时，可伪造任意用户的票据，访问域控的对应服务，获得域控权限，是域内常见的高风险配置。

81、 通过 ADCS 证书服务漏洞攻击获取域控权限，针对域内的 ADCS 活动目录证书服务，利用 ESC1 到 ESC8 等常见的证书服务漏洞，普通域用户可申请域管理员的证书，通过证书申请 Kerberos 票据，获得域管权限，控制域控，是近年域渗透的主流攻击手法。

82、 通过 GPO 组策略对象攻击获取域控权限，当普通用户具备修改域内组策略对象的权限，且该组策略应用到域控制器时，可修改组策略，添加计划任务、启动脚本，在域控制器上执行恶意命令，获得域控权限，是域内常见的攻击路径。

83、 通过 DCSync 攻击导出全域用户哈希，获得域控权限，当域用户具备域控的 DS-Replication-Get-Changes、DS-Replication-Get-Changes-All 等复制权限时，可通过 mimikatz、secretsdump.py 等工具，模拟域控制器的复制行为，从域控导出 NTDS.dit 中的全域所有用户哈希，包括 krbtgt 与域管账号，获得全域最高权限。

84、 通过域控制器备份文件获取 NTDS.dit，企业通常会定期备份域控制器，若能访问备份服务器、共享存储中的域控备份文件，可直接导出备份中的 NTDS.dit 与 SYSTEM hive，解析出全域所有用户哈希，获得域控权限，是实战中常见的域控获取手法。

85、 通过 Exchange 服务器漏洞获取域控权限，Exchange 服务器通常具备高权限的域账号，且与域控制器深度交互，利用 Exchange 的远程代码执行漏洞，比如 ProxyLogon、ProxyShell，先获得 Exchange 服务器的权限，再通过 Exchange 的高权限账号，直接访问域控，获得全域权限。

第七部分：域内权限维持手法（86-95）

86、 通过黄金票据实现全域持久化权限，使用 krbtgt 账号的 NTLM 哈希，伪造任意域用户的 TGT 票据，只要 krbtgt 账号的密码不修改，黄金票据就一直有效，可随时获得域内任意资源的访问权限，是域内经典的权限维持手法。

87、 通过白银票据实现指定服务的持久化访问，使用服务账号的哈希，伪造对应服务的 ST 票据，无需与域控交互，即可持续访问该服务，比如域控的文件共享、LDAP 服务，隐蔽性强，不易被检测。

88、 通过 DSRM 账号实现域控持久化权限，域控制器的目录服务还原模式 DSRM 账号，默认不会同步修改密码，可修改 DSRM 账号的密码，将其与域管理员账号绑定，通过 DSRM 账号登录域控制器，获得 System 权限，即使域管密码修改，仍能控制域控。

89、 通过 ACL 后门实现持久化权限，给普通域用户配置对域根对象、域管理员组、域控对象的高危 ACL 权限，比如重置密码、修改组成员、复制目录权限，无需修改域内账号密码，也无需留下票据，隐蔽性极强，即使域管密码全部修改，仍能随时提升到域管权限。

90、 通过 SID History 历史 SID 注入实现持久化权限，给普通域用户的 SID History 属性中添加域管理员组的 SID，系统会认为该用户具备域管理员的所有权限，即使该用户不在域管组中，也能访问域内所有资源，是隐蔽的权限维持手法。

91、 通过组策略脚本实现全域持久化，修改域内的默认组策略，添加登录脚本、启动脚本，当域内主机或用户登录时，自动执行恶意脚本，获得主机权限，可覆盖全域所有主机，是大规模的权限维持手法。

92、 通过 WMI 永久事件订阅实现主机持久化，在域控或已控主机上，创建 WMI 永久事件订阅，设置触发条件，比如系统启动、用户登录时，执行恶意代码，获得权限，无文件落地，隐蔽性极强，很难被常规排查发现。

93、 通过计划任务后门实现持久化权限，在域控或已控主机上，创建隐蔽的计划任务，设置定时触发、开机触发、事件触发条件，定期执行恶意代码，反弹 Shell，实现长期权限控制，是常用的主机持久化手法。

94、 通过 ADCS 证书持久化，给普通域用户申请一个长期有效的域管理员证书，即使域管密码修改、Kerberos 票据失效，仍能通过证书申请域管的 Kerberos 票据，获得域控权限，是近年主流的域内持久化手法。

95、 通过服务后门实现持久化权限，在已控主机上创建伪装成系统服务的恶意服务，设置开机自启、异常自动重启，实现长期的权限控制，服务名伪装成系统常用名称，降低被排查发现的概率。

第八部分：痕迹清理与反溯源手法（96-100）

96、 通过 wevtutil 工具精准清理 Windows 安全日志，使用 wevtutil 命令，筛选出包含攻击 IP、攻击账号、恶意操作的日志条目，精准删除，保留正常业务日志，避免全量清空日志触发告警，是域内痕迹清理的基础手法。

97、 清理横向移动留下的服务、计划任务、注册表痕迹，横向移动完成后，立即删除创建的远程服务、计划任务、WMI 事件订阅，清理注册表中留下的攻击痕迹，避免蓝队通过残留的配置还原攻击路径。

98、 清理 Kerberos 票据与凭证缓存，操作完成后，使用 mimikatz、Rubeus 工具清理本地导入的 Kerberos 票据，清理 Windows 凭据管理器中的缓存凭据，避免蓝队通过留存的票据溯源攻击行为。

99、 清理 PowerShell 执行日志与命令历史，删除 PowerShell 的命令历史文件，清理 PowerShell 的模块日志、脚本块日志、转录日志中的恶意操作记录，避免蓝队通过 PowerShell 日志还原攻击命令与脚本。

100、 伪造日志填补时间断档，清理完攻击相关的日志后，伪造与正常业务行为一致的登录、访问日志，填补日志中的时间断档，避免蓝队通过日志空白区间发现攻击行为，同时修改日志文件的时间戳，与系统原生日志保持一致，规避修改痕迹检测。

三、蓝队域环境防护体系

针对上述 100 个域渗透手法，蓝队可通过以下维度构建完整的内网防护体系，阻断红队攻击路径：

1、 最小权限原则管控：严格限制域内用户与计算机账号的权限，禁止普通用户具备高危 ACL 权限、本地管理员权限，关闭不必要的非约束委派、约束委派配置，从根源缩小攻击面。

2、 强密码策略与账号管控：开启域内强密码策略，定期轮换域管账号、krbtgt 账号、服务账号的密码，禁用不必要的域用户，清理废弃账号，关闭 “不要求 Kerberos 预身份验证” 的危险配置。

3、 内网流量监控与检测：部署内网 IDS/NDR，监控内网主机之间的 SMB、WMI、WinRM、RDP 等管理协议流量，识别异常的横向连接、口令喷洒、票据请求行为，实时告警。

4、 终端防护与 EDR 部署：在所有域内主机部署 EDR 终端防护工具，监控 LSASS 内存访问、凭证抓取、远程命令执行、恶意代码执行等高危行为，实时阻断攻击。

5、 AD 与 ADCS 安全加固：定期审计 AD 活动目录的 ACL 权限、委派配置、组策略设置，修复高危配置漏洞；加固 ADCS 证书服务，关闭危险的证书模板配置，防范证书相关攻击。

6、 不可篡改的日志体系：配置所有域内主机、域控制器的安全日志实时同步到远程不可篡改的日志平台，开启全量行为审计，监控日志清理、修改行为，为溯源反制提供完整依据。

7、 定期安全评估与演练：定期开展域环境安全评估，通过 BloodHound 排查危险攻击路径，修复高危漏洞与错误配置；定期开展红蓝对抗演练，提升应急响应与溯源反制能力。

结尾声明

本文所有内容均为攻防研究与安全防护提供技术参考，任何组织与个人必须在获得合法授权的前提下使用相关技术，严禁用于非法攻击活动。网络空间不是法外之地，请严格遵守《中华人民共和国网络安全法》等相关法律法规。

🎁 互动与福利

关注下方公众号回复【域渗透靶机】即可领取10套域环境的靶场奥

分享本文到朋友圈，点赞+在看+关注，一键三联，可以凭截图找老师领取

上千学习资料+工具哦

22919c6e4ef945aa9a9cbf0f6df4f6ff

分享后扫码加我！

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：智榜样网络安全学习中心 小智 小智《红队常用的100种域内渗透手法，建议收藏》