获课：97it.top/17279/

从“Web打点”到“域控沦陷”：我在30个内网靶场实战中的思维跃迁

在真正投入内网靶场实战之前，我对渗透测试的理解还停留在“Web漏洞利用”的层面：找到一个SQL注入，上传一个Webshell，拿到服务器权限，任务就算完成了。那时的我，像是一个在城门上凿洞的“破门者”，满足于看到门被打开的瞬间。然而，当我开始系统性地挑战30个内网靶场，从VulnStack到红日，从单点突破到域控接管，我才真正意识到：拿到Webshell，只是这场漫长战役的序章。

最初的几次实战，我陷入了“打点即胜利”的误区。成功利用ThinkPHP漏洞上线CS后，我便心满意足地截图留念，却对内网拓扑、域环境、横向路径一无所知。直到在一次靶场中，我虽然拿下了外网Web服务器，却因无法探测内网、无法横向移动，最终只能眼睁睁看着域控服务器“近在咫尺，远在天边”。那一刻，我深刻体会到：真正的挑战，不在“进”，而在“通”；不在“点”，而在“面”。

随着实战的深入，我的思维开始发生转变。我不再只关注“如何打进去”，而是思考“打进去之后，我能看到什么”。我开始系统性地收集信息：通过ipconfig判断双网卡结构，用arp -a和nmap扫描内网存活主机，用net view和nltest探测域环境。每一次信息收集，都像在绘制一张地下迷宫的地图。我逐渐明白，内网渗透的本质，是一场“信息战”——谁掌握了更完整的拓扑、更清晰的权限关系，谁就掌握了主动权。

横向移动，是我思维跃迁的关键一环。过去，我依赖“永恒之蓝”这类一键化漏洞，却忽视了凭证复用的威力。在一次靶场中，我通过Mimikatz抓取到域用户的哈希值，利用Pass-the-Hash成功登录到内网办公机，再通过WMI远程执行，最终逼近域控。那一刻，我意识到：真正的横向移动，不是靠运气撞漏洞，而是靠对域协议（如Kerberos、SMB）的深刻理解，对权限链路的精准把控。我开始研究黄金票据、白银票据、SMB Relay等高级技术，不再满足于“能进”，而是追求“能控、能隐、能持久”。

最深刻的转变，发生在“域控沦陷”的那一刻。当我第一次通过哈希传递拿到域管理员权限，成功登录域控服务器时，我没有欢呼，反而感到一丝沉重。因为我知道，这不仅仅是技术的胜利，更是责任的开始。域控是整个内网的“心脏”，控制它，就意味着能控制所有域内主机。我开始思考：如果这是真实环境，我的操作是否会被检测？是否留下了持久化后门？是否清理了日志痕迹？SRE的思维悄然融入——我们不是破坏者，而是系统稳定性的守护者。每一次攻击，都应是为了更好地防御。

30个靶场的实战，让我完成了从“Web打点者”到“内网架构师”的思维跃迁。我不再是那个只盯着80端口的“脚本小子”，而是能从外网入口一路推演到域控接管的“红队思维者”。我学会了用ATT&CK框架梳理攻击链路，用工程化思维构建代理通道，用防御视角反推加固策略。

这场跃迁，不只是技术的积累，更是认知的升维。我明白了：真正的安全，不在于堵死每一个漏洞，而在于理解攻击者的思维路径，提前布防。而我，正从“攻破系统的人”，成长为“守护系统的人”。