内网渗透测试：30个实战验证的信息收集技巧

单单必成

1. 内网渗透信息收集实战指南

作为一名从业多年的网络安全工程师，我深知内网渗透测试中信息收集环节的重要性。今天我将分享30个经过实战验证的内网信息收集技巧，这些方法都是我多年来在各类渗透测试项目中积累的宝贵经验。

1.1 网络拓扑与资产探测

1.1.1 ARP扫描技术详解

ARP扫描是内网探测中最基础也是最有效的手段之一。与ICMP扫描相比，ARP扫描具有以下优势：

更高成功率：大多数内网设备都会响应ARP请求
更隐蔽：不易被防火墙拦截
可获取MAC地址：有助于设备类型识别

实际操作中，我推荐使用以下命令组合：

bash复制nmap -sn -PR 192.168.1.0/24
arp-scan -l --interface=eth0

注意事项：ARP扫描会产生明显的网络流量，在敏感环境中建议控制扫描速度，添加--max-rate 100参数限制每秒包数。

1.1.2 多协议ICMP探测技巧

当标准ping被禁用时，可以尝试以下ICMP变种：

ICMP Timestamp请求(-PP)
ICMP Address Mask请求(-PM)
ICMP Information请求

实战命令示例：

bash复制nmap -sn -PE -PP -PM 10.0.0.0/16

我曾在一个金融项目中，通过ICMP Timestamp请求成功绕过了防火墙，发现了3台未被记录的核心服务器。

1.1.3 全端口扫描最佳实践

标准端口扫描往往会遗漏关键服务，我的经验是：

先进行快速扫描确认开放端口范围
对疑似服务端口进行精细扫描
最后对全端口进行深度扫描

推荐扫描策略：

bash复制nmap -p- -T4 --min-rate 1000 192.168.1.100
nmap -p 1-65535 -sV -sC -O -A 192.168.1.100

1.2 系统信息深度收集

1.2.1 Windows系统信息收集

Windows系统信息收集的黄金命令组合：

cmd复制systeminfo | findstr /B /C:"OS Name" /C:"OS Version"
wmic qfe list brief /format:table
net config workstation

特别要注意检查：

系统补丁状态（重点关注MS17-010等常见漏洞）
域成员信息
已安装的第三方软件版本

1.2.2 Linux系统信息收集

Linux系统信息收集的关键点：

bash复制uname -a
cat /etc/*-release
lsb_release -a
dpkg -l | grep -i 'apache\|nginx\|mysql'

我曾通过发现一个未更新的Apache版本，成功利用已知漏洞获取了服务器权限。

1.2.3 WMI查询高级技巧

WMI是Windows系统的信息宝库，以下是我常用的查询：

cmd复制wmic /node:192.168.1.101 /user:domain\admin /password:Passw0rd process list brief
wmic product get name,version,vendor
wmic service where (startmode="auto") get name,pathname

专业建议：WMI查询可能会触发安全告警，在生产环境中使用时要注意隐蔽性和查询频率。

1.3 账户与权限信息收集

1.3.1 Windows账户信息收集

域环境中的账户信息尤为重要：

cmd复制net user /domain
net group "Domain Admins" /domain
dsquery * -limit 0

在最近一次渗透测试中，我通过dsquery发现了一个被遗忘的服务账户，最终成为进入域控的关键。

1.3.2 Linux权限信息收集

Linux系统要重点关注：

bash复制sudo -l
cat /etc/sudoers
find / -perm -4000 -type f 2>/dev/null

一个典型的提权路径是：

查找具有SUID权限的可执行文件
检查sudo权限配置
寻找可写的系统脚本

1.3.3 密码哈希提取技术

Windows哈希提取方法比较：

方法	所需权限	隐蔽性	成功率
Mimikatz	SYSTEM	低	高
SAM提取	SYSTEM	中	高
DCSync	域管理员	高	高

Linux哈希提取：

bash复制cat /etc/shadow
unshadow /etc/passwd /etc/shadow > hashes.txt

1.4 应用服务与敏感数据收集

1.4.1 Web应用探测技巧

内网Web应用探测要点：

识别应用框架（通过favicon、HTTP头、错误页面）
扫描常见管理接口（/admin, /manager）
检查默认凭据

使用gobuster进行目录扫描：

bash复制gobuster dir -u http://192.168.1.103 -w /usr/share/wordlists/dirb/common.txt -x php,asp,aspx

1.4.2 数据库服务信息收集

数据库信息收集checklist：

确认数据库类型和版本
检查默认账户和弱密码
查找数据库配置文件

MySQL信息收集示例：

sql复制SELECT user,host FROM mysql.user;
SHOW VARIABLES LIKE '%version%';

1.4.3 敏感文件定位方法

快速定位敏感文件的命令：

bash复制find / -name "*.txt" -o -name "*.doc" -o -name "*.xls" 2>/dev/null
grep -r "password" /var/www 2>/dev/null

在最近一次项目中，我通过搜索备份文件找到了包含数据库凭据的config.php.bak文件。

1.5 高级信息收集技术

1.5.1 网络流量分析技巧

tcpdump使用示例：

bash复制tcpdump -i eth0 -nn -s0 -v port 80 or port 443 -w web_traffic.pcap

分析要点：

捕获HTTP基本认证流量
识别明文传输的凭据
分析API通信模式

1.5.2 日志信息收集策略

Windows日志分析关键点：

事件ID 4624（成功登录）
事件ID 4625（失败登录）
事件ID 4672（特权登录）

Linux日志分析重点：

bash复制grep "Failed password" /var/log/auth.log
grep "Accepted password" /var/log/auth.log

1.5.3 内网横向移动信息收集

横向移动前需要收集：

可用凭据列表
开放的服务端口
可用的管理协议（WMI, SSH, RDP等）

我常用的检查清单：

测试获取的凭据在其他主机是否可用
扫描内网中开放的管理服务
检查信任关系（如SSH信任关系）

2. 实战经验与避坑指南

2.1 常见问题与解决方案

2.1.1 扫描被拦截的应对策略

当扫描被拦截时，可以尝试：

降低扫描速度
使用分散的源IP
改变扫描模式（如从TCP改为UDP）
使用合法的管理协议（如WMI）进行信息收集

2.1.2 权限维持技巧

可靠的权限维持方法：

创建隐藏的计划任务
部署隐蔽的后门服务
利用合法的管理账户

重要提示：所有渗透测试活动必须获得明确授权，未经授权的测试可能违反法律。

2.2 工具选择与使用技巧

2.2.1 推荐工具列表

我常用的信息收集工具：

工具	用途	特点
nmap	端口扫描	功能全面
Responder	LLMNR毒化	内网有效
BloodHound	域关系分析	可视化强
CrackMapExec	内网渗透	多协议支持

2.2.2 自定义脚本开发

为提高效率，我开发了一些自动化脚本：

批量WMI查询脚本
内网服务自动识别脚本
敏感文件快速定位脚本

示例代码片段：

python复制import wmi
c = wmi.WMI(computer="192.168.1.100", user="admin", password="pass")
for process in c.Win32_Process():
    print(process.ProcessId, process.Name)