获课：97it.top/17279/

失败复盘：那个因为SMB协议理解偏差导致横向移动失败的惨痛教训

在网络安全攻防演练的紧张氛围中，我们曾经历过一次刻骨铭心的失败。那是一次看似万无一失的横向移动尝试，却因为对SMB协议深层机制的理解偏差，最终导致整个行动功亏一篑，不仅错失了关键目标，还暴露了我们的攻击路径。

当时，我们成功获取了一台域内主机的权限，并提取到了域管理员的NTLM哈希。按照惯常的战术手册，我们信心满满地准备利用PsExec工具，通过SMB协议对核心业务服务器发起横向移动。然而，当命令发出后，预期的Shell并未出现，取而代之的是冰冷的“Access is denied”错误。

我们最初的判断是凭证失效或目标主机存在UAC远程限制。于是，我们花费了大量时间尝试各种UAC绕过技巧，甚至怀疑哈希本身有问题，反复验证凭证的有效性。但问题依旧存在，就像一堵无形的墙，将我们牢牢挡在目标之外。

真正的问题，隐藏在我们对SMB协议“理所当然”的认知盲区里。我们一直以为，只要NTLM认证通过，SMB会话就能顺利建立，后续的远程命令执行便是水到渠成。但我们忽略了一个至关重要的安全机制——SMB签名。

在现代Windows环境中，为了防御中间人攻击和会话劫持，SMB签名已被广泛启用。它要求每个SMB数据包都必须携带一个基于会话密钥生成的消息认证码，以确保通信的完整性和真实性。而我们使用的横向移动工具，在实现Pass-the-Hash时，并未完整支持SMB签名的协商与计算。这就导致了一个尴尬的局面：身份认证阶段虽然通过了，但在后续的数据包交互中，由于无法提供有效的签名，目标主机直接拒绝了所有请求。

更讽刺的是，我们后来通过抓包分析才发现，目标主机的组策略早已强制要求“数字签名通信（始终）”。而我们却还在用一种近乎“裸奔”的方式尝试连接，就像一个拿着伪造身份证的人，虽然骗过了门口的保安，却在进入需要指纹验证的核心区域时原形毕露。

这次失败让我们深刻认识到，网络攻防不是简单的工具堆砌，而是对底层协议和系统机制的深刻理解。我们过于依赖自动化工具，却忽视了它们背后的工作原理。我们以为掌握了“钥匙”，却不知道锁芯早已升级换代。

从那次之后，我们彻底改变了对横向移动的认知。我们开始深入研究SMB协议的协商过程，学习如何检测目标是否启用了SMB签名，并掌握了更多替代方案，如通过WMI或WinRM进行哈希传递。更重要的是，我们建立了一套更严谨的侦察流程，在发起攻击前，会先用nmap等工具探测目标的SMB安全模式，确保攻击路径的可行性。

那个失败的夜晚，像一记警钟，敲醒了我们对技术的敬畏之心。它提醒我们，在复杂的网络世界里，没有万能的“银弹”，只有对细节的极致追求和对未知领域的持续探索。真正的安全专家，不仅要会用工具，更要理解工具为何有效，以及在何种情况下会失效。