Netexec使用教程

Netexec简称NXC前身为CrackMapExec的分支版本是一款功能强大的网络渗透测试与安全评估工具专注于对企业网络中的多种协议进行凭据验证、横向移动、信息枚举和命令执行。它在CrackMapExec的基础上进行了功能扩展与优化成为红队人员和渗透测试工程师在Windows和Linux混合环境中常用的核心工具之一。Netexec的核心价值在于一体化网络攻击链支持通过单一工具即可完成从“凭据测试”到“权限获取”再到“横向移动”的关键步骤无需频繁切换工具。其主要特点包括多协议覆盖支持SMB、LDAP、WinRM、SSH、RDP等10余种主流网络协议适配不同设备类型Windows服务器、Linux主机、网络设备等精细化凭据管理支持明文密码、哈希传递Pass-the-Hash、票据传递Pass-the-Ticket等多种认证方式丰富的模块扩展内置信息枚举、命令执行、文件传输、漏洞利用等模块可直接落地攻击动作灵活的性能控制支持多线程并发、随机延迟、超时设置平衡攻击效率与隐蔽性详细的日志输出支持自定义日志保存便于渗透测试报告整理与审计。该工具主要用于企业内部网络的安全评估帮助安全人员发现弱口令、配置漏洞、权限滥用等风险需在合法授权范围内使用。二、命令参数说明中文表格版Netexec参数按功能分为“通用选项”“输出控制选项”“DNS配置选项”和“支持的协议”四类结构清晰且易于使用。1. 通用选项Generic英文选项中文描述默认值/说明–version显示Netexec版本信息无仅输出版本号如5.3.0-t, –threads THREADS设置并发线程数量未指定时默认使用100线程可根据网络环境调整如-t 50–timeout TIMEOUT每个线程的最大超时时间秒无默认值建议设置5-10秒如--timeout 8避免线程阻塞–jitter INTERVAL设置每次认证之间的随机延迟时间秒无默认值用于降低检测概率如--jitter 2表示延迟0-2秒-h, –help显示帮助信息输出所有参数分类及简要说明也可针对特定协议查看帮助如netexec smb -h2. 输出控制选项Output英文选项中文描述说明–verbose启用详细输出模式显示更多操作细节如认证过程、模块执行步骤便于调试–debug启用调试级别输出输出最详细的日志含网络请求、错误堆栈仅用于排查工具运行问题–no-progress不显示扫描进度条适合后台运行或输出重定向时避免进度条干扰日志可读性–log LOG将结果导出到自定义文件日志文件路径如--log nxc_scan.log记录所有有效结果与关键操作3. DNS配置选项DNS英文选项中文描述说明-6强制使用IPv6对目标进行IPv6地址解析与连接需目标支持IPv6–dns-server DNS_SERVER指定自定义DNS服务器替代系统默认DNS如--dns-server 8.8.8.8解决内网DNS解析问题–dns-tcp使用TCP协议进行DNS查询默认用UDPTCP适用于查询结果超过UDP数据包大小如长域名解析–dns-timeout DNS_TIMEOUTDNS查询超时时间秒建议设置2-5秒如--dns-timeout 3避免DNS阻塞影响整体扫描4. 支持的协议及核心功能协议选项中文描述核心功能ftp文件传输协议FTP凭据验证、文件上传/下载、匿名登录检测ldap轻量级目录访问协议LDAPActive DirectoryAD信息枚举用户/组/计算机、凭据验证、域内权限查询mssqlMicrosoft SQL Server协议数据库凭据验证、执行SQL查询、启用xp_cmdshell、读取数据库数据nfs网络文件系统NFS共享目录枚举、权限检测、文件挂载与访问rdp远程桌面协议RDP凭据验证、RDP服务配置检测如是否允许管理员登录、暴力破解smb服务器消息块协议SMB最常用协议支持哈希传递、票据传递、共享目录枚举、命令执行、抓取NTLM哈希ssh安全外壳协议SSHLinux/UNIX主机凭据验证、远程命令执行、文件传输SCP、私钥登录测试vnc虚拟网络计算协议VNCVNC服务凭据验证、暴力破解、远程桌面访问检测winrmWindows远程管理协议WinRMWindows主机远程命令执行、PowerShell脚本运行、凭据验证常用于域内横向wmiWindows管理规范协议WMIWindows主机信息查询进程/服务/注册表、远程命令执行、凭据验证三、使用教程Netexec的使用需结合具体协议场景以下按“基础凭据验证”“信息枚举”“横向移动”三类核心场景展开所有操作均需合法授权。1. 准备工作1安装确认Kali Linux默认预装Netexec验证命令netexec --version若未安装通过包管理器安装sudo apt update sudo apt install netexec2环境与文件准备凭据文件准备用户名列表如users.txt、密码列表如passwords.txt、NTLM哈希列表如hashes.txt格式为LMhash:NThash或仅NThash目标列表创建包含目标IP/域名的文件如targets.txt每行一个目标域环境信息可选若测试AD域需提前获取域控制器IP、域名如corp.com。2. 基础使用示例凭据验证与信息枚举1SMB协议批量验证凭据并枚举共享目录netexec smb 192.168.1.0/24 -u users.txt -p passwords.txt --shares --log smb_scan.log参数解析smb指定SMB协议192.168.1.0/24目标网段也可写单个IP或-f targets.txt导入文件-u users.txt用户名字典-p passwords.txt密码字典--shares枚举目标主机的SMB共享目录--log smb_scan.log结果保存到日志文件。输出效果显示每个主机的有效凭据、共享目录列表及权限如READ/WRITE。2LDAP协议域内用户枚举需域控制器IP与域账号netexec ldap 192.168.2.100 -u corp\admin -p Pssw0rd123 --enum-users --verbose参数解析ldap指定LDAP协议192.168.2.100域控制器IP-u corp\admin域用户名格式为“域名\用户名”-p Pssw0rd123域用户密码--enum-users枚举域内所有用户含用户名、描述、最后登录时间--verbose显示详细枚举过程。3SSH协议Linux主机凭据验证与命令执行netexec ssh 10.0.0.5 -u root -P /usr/share/wordlists/rockyou.txt -x whoami;uname -a参数解析ssh指定SSH协议10.0.0.5Linux目标IP-u root测试用户名root-P rockyou.txt密码字典Kali自带需解压gunzip rockyou.txt.gz-x whoami;uname -a对验证成功的主机执行命令查看当前用户与系统信息。3. 进阶使用示例横向移动与权限利用1SMB协议哈希传递Pass-the-Hash攻击netexec smb 192.168.1.200 -u admin -H aad3b435b51404eeaad3b435b51404ee:5f4dcc3b5aa765d61d8327deb882cf99 -x ipconfig参数解析-H LMhash:NThash使用NTLM哈希登录前半部分为默认LM空哈希后半为NThash-x ipconfig登录成功后执行ipconfig命令验证权限有效性场景获取目标主机的NTLM哈希后如通过Mimikatz无需明文密码即可登录。2WinRM协议远程执行PowerShell脚本域内横向netexec winrm 192.168.1.300 -u corp\user1 -p Pass123! -e C:\scripts\enum.ps1 --verbose参数解析winrm指定WinRM协议Windows默认端口5985/5986-e C:\scripts\enum.ps1在目标主机上执行本地PowerShell脚本脚本需提前存在于目标路径场景利用WinRM进行域内横向移动执行信息收集或漏洞利用脚本。3MSSQL协议启用xp_cmdshell执行系统命令netexec mssql 192.168.1.400 -u sa -p SaPass2024 --enable-xp-cmdshell -x net user参数解析--enable-xp-cmdshell启用MSSQL的xp_cmdshell存储过程默认禁用用于执行系统命令-x net user执行net user命令查看目标主机的用户列表前提MSSQL账号需具备sysadmin权限如sa账号。4. 高级技巧性能优化与隐蔽性1多线程与随机延迟避免触发防御netexec smb -f targets.txt -u users.txt -p pass.txt -t 50 --jitter 1.5 --no-progress --log nxc_stealth.log关键参数-t 50并发线程设为50降低目标服务器CPU负载--jitter 1.5每次认证延迟0-1.5秒避免短时间大量请求被IDS拦截--no-progress不显示进度条适合后台运行。2仅输出有效结果简化分析netexec ssh 10.0.0.0/24 -u root -P pass.txt --only-successful --log ssh_success.log--only-successful仅记录认证成功的凭据与目标减少日志冗余需Netexec 5.0版本支持。3DNS解析优化内网环境netexec ldap dc.corp.com -u corp\admin -p Pass123 --dns-server 192.168.2.1 --dns-timeout 3 --enum-groups关键参数--dns-server 192.168.2.1使用内网DNS服务器解析域控制器dc.corp.com--enum-groups枚举域内所有安全组验证DNS解析有效性。5. 注意事项合法性与授权必须获得目标网络所有者的书面授权未经授权的测试可能违反《网络安全法》《刑法》等法律法规面临法律责任。线程与延迟控制外网测试线程数建议≤30添加--jitter 2-3内网测试线程数可设50-100无需延迟需确认内网带宽与设备性能凭据安全避免在命令行直接输入明文密码可通过文件导入-p pass.txt防止密码泄露到命令历史history命令。版本兼容性部分高级功能如--only-successful仅在Netexec 5.0版本支持建议通过sudo apt upgrade netexec更新到最新版。日志管理渗透测试结束后及时清理本地日志文件避免敏感信息如有效凭据泄露。