新手小白的内网渗透之路

内网渗透思路

我有这个想法的原因是因为这几天在打DC靶场的时候，当我从外网渗透到内网拿到低用户权限想要提权到高用户权限的过程中不知道该如何做，所以今天就来整理一下内网渗透的思路

看了一些文章和整理了一些ai的回答从以下几个方面让像我这种小白能快速简单易懂的知道提权的方向已经如何提权，提权前应该做什么

第一阶段：信息收集

信息收集的目标是了解你所在的环境，寻找权限提升的“线索”。

一.了解当前用户和主机

1.我是谁？

whoami
id              # Linux
whoami /all     # Windows

为什么要看我是谁？

1. 判断权限等级

• 普通用户？服务账号？域用户？管理员？
• 这决定了：你是该先本地提权，还是能直接横向。

2. 识别特殊账号

• 比如 oracle、mssql、www-data，说明这是数据库用户或 Web 服务用户 → 往往能访问敏感配置/数据。

3. 判断属于哪个域/组织

• Windows 下：

  user@domain
  

  → 如果你属于域账户，可能已经能直接访问域控相关资源。

2.这是什么机器？：

hostname
uname -a        # Linux
systeminfo      # Windows

知道这个机子是什么有什么用？

1. 确认机器角色
   • Hostname / 系统提示你：是数据库服务器？域控？跳板机？还是普通员工机？
   • 不同角色决定价值 → 域控/核心服务必须重点突破。
2. 定位网络拓扑
   • 主机名里经常藏信息：
     • DC01 → 域控。
     • WEB01 → Web 服务器。
     • DB-SQL → 数据库服务器。
3. 选择渗透策略
   • 如果这是个 Web 前端机 → 优先搜集数据库凭证。
   • 如果这是个 域控/管理机 → 直接准备打域提权。
   • 如果只是个 普通员工机 → 主要用来跳板横向

3.操作系统和版本：

Linux

uname -a
cat /etc/os-release
lsb_release -a

Windows

systeminfo
wmic os get caption, version, buildnumber

为什么要识别操作系统和版本？

1. 寻找已知漏洞（提权/远程利用）

• 不同操作系统、不同版本对应的漏洞差异很大。

• 举例：

  • Linux 内核：

    • 2.6.x 可能受 Dirty COW (CVE-2016-5195) 影响。
    • 4.4.x 某些版本有 OverlayFS 提权漏洞。

  • Windows：

    • Windows 7 没打补丁时有 MS17-010 (永恒之蓝)。

    • Windows Server 2016 某些版本受 PrintNightmare 影响。

      意义：你一旦知道操作系统版本，就可以针对性地去查 Exploit-DB / Metasploit / 公开漏洞库，快速匹配提权或远程利用漏洞。

2. 选择合适的提权方式

• 不同操作系统提权思路不同：
  • Linux → 内核漏洞 / SUID / Cron / Misconfig。
  • Windows → 本地提权漏洞 (如 Token Impersonation, UAC Bypass)，补丁差异特别大。
  • 如果不知道 OS 和版本，就没法判断该用 内核漏洞提权 还是 配置错误提权。

3. 识别防御环境

• 某些系统版本默认带的防御机制不同：
  • Windows 10/11 自带 Defender，日志监控更强。
  • 老版本 Windows 可能几乎没有安全防护。
  • 新内核 Linux 可能启用了 SELinux / AppArmor，限制提权。
  • 意义：能预估你需要绕过什么防御。

4. 辅助横向渗透

• 在内网里，很多机器系统不一样：
  • 你可能在一台 Linux 拿到低权，但另一台是 Windows Server 2012 → 这就给了你不同的利用手段。
  • 如果发现一台机器跑的是 Windows XP/2003 → 基本可以断定是老系统，漏洞极多，是突破口。

二.枚举网络环境

枚举网络环境的主要目的是：跳出当前主机的局限，为横向移动和权限提升寻找更广阔的战场和更多的机会。

枚举网络不仅是“看环境”，更是 寻找新的提权/横向突破口 的关键步骤

1.网络配置：

查看网络配置的常用命令
ifconfig        # 或 ip a       → 查看 IP 地址、网卡信息
ip route        # 或 route -n   → 查看路由表
cat /etc/resolv.conf  # 查看 DNS 配置

网络配置有什么用？

1. 确认自己在哪个网段

• 知道自己的 IP 地址 / 子网掩码，就能推算出当前子网内有多少潜在目标。

• 比如：

  inet 192.168.1.15  netmask 255.255.255.0
  

  → 表示你所在网段是 192.168.1.0/24，大约有 254 台可用主机。

  意义：方便你规划 扫描范围，不需要盲目乱扫。

2. 识别多网卡 / 双重网段

• 有的主机可能有多块网卡：

  eth0: 10.0.0.5/24
  eth1: 172.16.0.10/16
  

  → 说明这台主机处在 两个不同内网段，可能充当 跳板机/网关。

  意义：你可以通过这台机器打通更多内网，继续横向渗透。

3. 发现网关信息

• 通过 ip route 可以看到：

  default via 192.168.1.1 dev eth0
  

  → 默认网关是 192.168.1.1，可能是路由器、防火墙或核心交换机。

  意义：

  • 了解 内网出口，确认哪些机器能出网（能作为代理）。
  • 在某些环境下，可以尝试对网关设备进行攻击/配置劫持（实验靶场里很常见）。

4. 识别 DNS 配置

• 查看 /etc/resolv.conf：

  nameserver 10.0.0.53
  

  → DNS 服务器在 10.0.0.53，很可能是 域控服务器。

  意义：

  • 通过 DNS 你可以推测域环境（AD 域控几乎都会提供 DNS 服务）。
  • 在渗透测试里，常用 DNS 来枚举内部域名、子域。

5. 结合提权 & 横向

• 提权场景：如果你发现本机是多网卡，就说明它很可能是运维跳板机，权限价值更高 → 值得重点提权。
• 横向场景：如果你在 Web 服务器上，发现它的内网 IP 段是 10.10.0.0/16，那么数据库/文件服务器很可能也在这个段里。

2.网络连接和开放端口：

网络连接
netstat -antup
ss -tunlp
lsof -i

开放端口
netstat -tlnp
ss -lnptu

网络连接有什么用？

1. 发现隐藏服务
   • 有些服务只监听在 127.0.0.1（本地回环），外部扫描不到。
   • 比如：MySQL 只对本地开放 → 但你现在在本地有权限，就能直接尝试访问。
   • 这类“只对本机可见”的服务，往往配置粗心，可能存在弱口令。
2. 判断当前进程和用户
   • 结合 netstat 输出，可以看到某个端口是哪个进程开的，哪个用户在运行。
   • 如果某些高权限进程监听了端口，而你能和它交互 → 可能是提权入口。
3. 检测横向通信
   • 你能看到本机 正在和哪些 IP 通信：
     • 如果看到内网数据库、域控、代理服务器 → 说明它们可达，可以横向渗透。
     • 如果看到与外网通信的连接 → 说明本机可能是代理/跳板。

开放端口有什么用？

1. 确定可利用的服务

   • 常见提权相关端口：
     • 3306（MySQL）、5432（PostgreSQL）、6379（Redis）、11211（Memcached） → 弱口令/未授权访问。
     • 8080/7001 等 Web 服务 → 可能有未打补丁漏洞。

2. 识别高危配置

   • 如果数据库、缓存服务不仅对内网开放，还对外网可见 → 极高风险。
   • 在渗透场景里，你可能利用这些服务做横向。

3. 辅助判断主机角色

   • 通过端口可以推测主机类型：
     • 开了 80/443 → Web 服务器。
     • 开了 1433 → SQL Server 数据库。
     • 开了 22 → SSH 管理机。
   • 结合枚举的路由表，可以定位目标资产的功能。

   网络连接 + 开放端口的综合价值

   举个例子：

   • 你在一台 Web 服务器上获得了普通用户权限。
   • 枚举发现：

• 本机监听 3306（MySQL），但只对 127.0.0.1 开放。
  • 本机有进程在连接另一台 192.168.1.10:389（LDAP 服务器）。

👉 分析：

• 3306 → 你本地可以尝试爆破 MySQL，拿到数据库用户凭证 → 里面可能存 root 密码或其他服务密码。
• 192.168.1.10:389 → 说明本机能访问 LDAP（域控组件），你可以尝试横向打域控

3.ARP 缓存和路由表：

ARP：arp -a 或ip neigh/路由：ip route或route -n(Linux) 
ARP：arp -a / 路由：route print (Windows)

ARP作用：

1. 发现活跃主机
   • ARP 缓存记录了 本机最近通信过的 IP 与对应的 MAC 地址。
   • 即使没有完整扫描内网，也能快速知道哪些机器在线、你曾与谁通信。
2. 识别内网拓扑
   • 通过 MAC 前缀可以判断厂商（如 Cisco、VMware、Huawei），推测设备类型。
   • 可能发现网关、防火墙、虚拟机等信息。
3. 辅助横向渗透
   • 如果你在一台 Linux 主机上提权失败，可以通过 ARP 缓存快速定位 “下一跳”目标。
   • 有些情况下，ARP 缓存暴露的主机比你主动扫出来的更隐蔽，因为它们可能只对特定端口/通信开放。

路由作用：

1. 确认网络边界

   • 路由表能告诉你 本机能访问哪些网段。

   • 例如：

     default via 10.0.0.1 dev eth0
     192.168.56.0/24 dev eth1
     

     说明这台主机是 双网卡，既连 10.0.0.0/24，也连 192.168.56.0/24 → 可能是跳板机。

2. 寻找横向渗透方向

   • 有些路由表里会出现陌生的网段，比如：

     172.16.0.0/16 via 192.168.1.254
     

     👉 说明通过 192.168.1.254 可以打通到另一个大网段，这就是潜在的 横向渗透入口。

3. 发现出口点

   • 有些情况下，本机可能无法直接出网，但路由表能提示哪台机器充当了 NAT 网关/代理。
   • 渗透中，你就可以想办法利用这台网关机做代理，打通外网与内网。

综合起来的价值

• ARP 缓存 → 短期内快速列出活跃主机。
• 路由表 → 长期策略上确定你能扩展的内网范围

1. 你在一台 Web 服务器上拿到低权限 → 发现路由表里还有一条指向 172.16.0.0/16 的路由 → 意味着后面可能有一个企业级内网。
2. 再通过 ARP 缓存，确认哪些 172.16.x.x 主机是活跃的 → 直接选择目标，不用盲扫全网

4.查看 hosts 文件

cat /etc/hosts (Linux) 
type C:\Windows\System32\drivers\etc\hosts

为什么要看 hosts 文件？

1. 发现隐藏资产

   • 有些关键服务器没有在 DNS 中注册，只在 hosts 文件里写了固定解析。
   • 你能找到：内部管理平台、测试环境、开发接口等。

2. 识别关键服务

   • hosts 文件可能写着：

     192.168.1.10   db.internal.local
     192.168.1.20   dc01.corp.local
     192.168.1.30   intranet
     

     一眼就知道哪台是数据库、域控、内部办公系统。

3. 辅助横向渗透

   • 如果发现目标机器已经配置了对某台主机的访问（比如数据库），说明它能连通 → 你可以利用它作为跳板。

4. 绕过安全设备

   • 有时管理员为了绕开 DNS 审计，直接用 hosts 做解析。
   • 这能让你发现 非公开/被隐藏的域名，甚至内网漏洞管理后台。

5. 钓鱼或持久化利用

   • 在后渗透阶段，你也可以修改 hosts，把关键域名劫持到你控制的 IP，实现流量劫持或持久化

5.探测内网存活主机

使用 ping 命令扫描常见的网段（如 192.168.0.0/24, 10.0.0.0/24），但注意 ping 可能被禁用。更隐蔽的方法是使用 telnet [IP] [PORT] 或 Windows 的 Test-NetConnection (PowerShell) 来扫描特定端口

三.枚举服务和进程

Linux

# 查看所有进程
ps aux
top
htop  # 高级可视化

# 查看监听端口的进程
netstat -tulnp
ss -tunlp

# 查看系统服务
systemctl list-units --type=service
service --status-all

Windows

# 查看所有进程
tasklist
Get-Process

# 查看服务
sc query
Get-Service

# 查看监听端口及对应进程
netstat -ano
Get-NetTCPConnection  # PowerShell

为什么要枚举进程和服务

1. 发现高权限进程

• 有些进程以 root（Linux）或 SYSTEM/Administrator（Windows）运行。
• 如果这些进程有漏洞或被错误配置（比如允许低权限用户操作） → 可以用作 提权入口。

2. 识别可利用服务

• 某些服务可能有弱口令、默认配置或已知漏洞：
  • MySQL、PostgreSQL、Redis → 弱口令或未授权访问
  • Windows 服务（SMB、RDP） → 漏洞或 misconfig
• 枚举后，你可以针对性攻击。

3. 发现横向渗透机会

• 通过服务列表可以判断内部机器角色（Web 服务器、数据库、域控、跳板机）。
• 有些进程会与内网其他主机通信 → 帮助你确定横向目标。

4. 辅助安全配置判断

• 枚举到的服务版本、运行用户、监听端口可以推测系统是否开启安全防护（SELinux、AppArmor、Windows Defender）。

四.枚举文件和权限（寻找“低垂的果实”）

1.查看当前用户的家目录

LINUX
echo $HOME       # 显示当前用户家目录
cd ~             # 切换到当前用户家目录
pwd              # 显示当前目录绝对路径

Windows
echo %USERPROFILE%  # 显示当前用户家目录
cd %USERPROFILE%    # 切换到当前用户家目录

查看家目录的目的

1. 收集敏感信息
   • 用户目录里经常存储：
     • 配置文件（.ssh/authorized_keys、.aws/credentials、.gitconfig）
     • 历史命令 (.bash_history, .zsh_history)
     • 文档、数据库备份、敏感文件
   • 这些信息可能直接助你提权或横向渗透。
2. 寻找可利用凭证
   • SSH 密钥、数据库密码、API Key 都可能在用户目录里。
   • 拿到凭证后，可以访问其他主机或服务，扩展攻击面。

2.寻找可写目录

Linux
# 当前用户可写的目录
find / -type d -writable 2>/dev/null

# 当前目录及子目录可写
find . -type d -writable

Windows
# 查看某个路径下可写目录
Get-ChildItem -Path C:\ -Recurse -Directory | Where-Object { Test-Path $_.FullName -PathType Container -ErrorAction SilentlyContinue -and (Get-Acl $_.FullName).AccessToString -match "Everyone.*Modify" }

# 更简单地检查当前用户可写的目录
[System.IO.Directory]::GetAccessControl("C:\Path")

寻找可写目录的目的

1. 上传/放置文件
   • 比如上传脚本、Webshell、恶意二进制文件，用于进一步提权或持久化。
2. 持久化
   • 将后门、定时任务、启动脚本等放到可写目录 → 在系统重启后仍能执行。
3. 利用配置或服务漏洞
   • 某些服务读取目录下文件（如配置、脚本），如果目录可写 → 可修改配置或注入恶意文件。
4. 辅助本地提权
   • 可写目录配合 SUID/高权限程序 使用：
     • 把可控文件放入高权限程序可读取/执行的目录 → 提权。

3.寻找 SUID/GUID 文件（Linux）

查找 SUID 文件（Set User ID）

# 查找整个系统可执行文件中带 SUID 权限的
find / -type f -perm -4000 2>/dev/null

查找 SGID 文件（Set Group ID）

# 查找整个系统可执行文件中带 SGID 权限的
find / -type f -perm -2000 2>/dev/null

同时查找 SUID 和 SGID

find / -type f \( -perm -4000 -o -perm -2000 \) 2>/dev/null

目的 / 作用

1. 本地提权

   • SUID/SGID 文件如果存在 漏洞 或允许普通用户控制输入 → 可用来提权。
   • 常见例子：
     • /usr/bin/passwd → 修改用户密码
     • /usr/bin/find, /usr/bin/vim → 可执行命令逃逸
   • 目标：从普通用户提升到 root 权限。

2. 识别可利用程序

   • 枚举 SUID/SGID 文件后，结合 版本、配置和目录权限 → 判断哪些文件可以利用。

3. 辅助横向或持久化

   • 虽然主要用于本地提权，但在某些场景下可写 SUID/SGID 文件目录也可上传恶意脚本或配置文件 → 持久化或横向利用。

比较常见的还是suid的方式提权，整理一个 通过 SUID 文件进行本地提权的常见方法清单

方法	原理	举例
可执行文件漏洞利用	SUID 程序存在本身漏洞（缓冲区溢出、命令注入等）	老版本 vim, less, find 可被用来执行任意命令
环境变量劫持	利用 SUID 程序依赖环境变量加载命令或库	PATH, LD_PRELOAD, LD_LIBRARY_PATH 劫持执行恶意代码
可写文件/目录利用	SUID 程序写入某些文件或读取可控路径	修改 /tmp 下的日志文件或符号链接，覆盖 root 文件
配置/脚本注入	SUID 程序加载配置文件或脚本，普通用户可修改	.bashrc, .profile 被程序执行
符号链接攻击	利用 SUID 程序对文件操作不安全	将目标文件用符号链接指向 /etc/shadow 等敏感文件
程序本身设计问题	SUID 程序允许执行 shell 或其他命令	find / -exec /bin/sh，nmap --interactive 等被设计成可以执行 shell

4.寻找敏感配置文件

linux

文件/目录	说明
/etc/passwd	系统用户信息（不含密码，但可配合 shadow 提权）
/etc/shadow	系统用户密码 hash（root 可读）
/etc/ssh/	SSH 配置、密钥文件
/home/*/.ssh/	用户 SSH 私钥、授权密钥
/var/www/html/config.php	Web 应用配置文件，通常含数据库账号密码
/opt/*/config/	第三方应用配置
~/.bash_history	用户历史命令，可能泄露密码或敏感操作

Windows

文件/目录	说明
C:\Windows\System32\config\SAM	系统账号和密码 hash（需管理员权限）
C:\Users\用户名\AppData\	用户应用配置，可能含 token、密码
C:\inetpub\wwwroot\	IIS Web 配置文件，含数据库/服务账号
C:\ProgramData\	公共配置文件，可能含密钥/证书

1. 获取凭证

   • 数据库账号、SSH 密钥、API token → 横向渗透或提权。

2. 了解系统/应用配置

   • 知道数据库地址、Web 服务路径、内部域信息 → 横向攻击或数据挖掘。

3. 发现安全漏洞

   • 配置文件可能暴露：
     • 弱口令
     • 默认配置
     • 不安全权限
   • 可用于提权或攻击其他服务。

4. 辅助横向渗透

   • 例如：Web 配置文件里有内部数据库 IP + 账号 → 可以从当前主机跳向数据库服务器。

5.枚举计划任务和 Cron Jobs

Linux Cron Jobs

# 查看当前用户的 cron 任务
crontab -l

# 系统级 cron，更全面、更有可能找到提权机会
cat /etc/corntab

# 查看系统服务 cron
systemctl status cron

1. 提权机会

   • Cron 任务以特定用户身份执行（可能是 root）。
   • 如果任务执行的脚本或可执行文件可被普通用户修改 → 可以利用它 提权。

2. 持久化

   • 可以在 cron 里添加恶意脚本 → 自动执行 → 保持访问权限。

3. 横向渗透

   • 有些 cron 任务会访问网络或内网资源 → 可以借机窃取凭证或数据。

Windows 计划任务（Task Scheduler）

# 列出所有计划任务
schtasks /query /fo LIST /v

# 查看指定任务
schtasks /query /tn "任务名" /fo LIST /v

# PowerShell 查询
Get-ScheduledTask
Get-ScheduledTask | Get-ScheduledTaskInfo

1. 提权机会

   • 计划任务可能以 SYSTEM 或管理员身份运行。
   • 如果任务指向可写路径的脚本 → 可利用覆盖提权。

2. 持久化

   • 添加或修改任务，使恶意程序随系统启动执行。

3. 横向渗透

   • 某些任务可能执行网络操作或访问共享目录 → 可作为横向突破点

计划任务/Cron Jobs = 系统定时执行程序，如果可控 → 就有提权或持久化价值。

5.查看历史命令

Linux

# 查看当前用户的 Bash 历史命令
cat ~/.bash_history

# 如果使用 Zsh
cat ~/.zsh_history

作用

1. 发现敏感信息
   • 用户可能在命令中输入密码、API Key、数据库连接信息。
2. 提权线索
   • 历史命令可能显示：
     • 使用过的 SUID/SGID 文件
     • 提权命令或漏洞利用方式
     • 管理操作（如 sudo）
3. 横向渗透线索
   • 查看命令中访问过的内网主机、共享目录、远程连接工具（ssh/scp）等。

Windows

# PowerShell 命令历史
Get-Content (Get-PSReadLineOption).HistorySavePath

# CMD 历史命令
doskey /history

作用

1. 发现敏感信息
   • 用户在命令行里输入过的密码、共享路径、远程连接信息。
2. 提权线索
   • 历史命令中可能出现管理员命令或执行计划任务命令。
3. 横向渗透线索
   • 历史命令可能显示远程服务器、域控、共享资源地址。

第二阶段：分析并选择攻击路径

在收集了足够的信息后，坐下来分析，寻找突破口。

1.分类信息

把第一阶段收集的信息分类整理：

1. 用户信息
   • 当前权限、域用户、特殊账号（oracle、mssql、admin）
2. 主机信息
   • 操作系统类型、版本、机器角色（域控、数据库、普通员工机）
3. 服务信息
   • 网络端口、服务版本、监听服务
4. 敏感文件与凭证
   • 配置文件、SSH 密钥、历史命令、计划任务、可写目录
5. 潜在提权点
   • SUID/SGID 文件、Cron/计划任务、环境变量漏洞

2.评估目标价值

• 哪些主机或用户最值得攻击？
  • 域控、数据库、管理员账户 → 高价值
  • 普通员工机 → 低价值，但可用作跳板
• 哪些漏洞/权限可直接利用？
  • 可写目录 + SUID → 提权
  • 弱口令/默认密码 → 横向

3.分析攻击路径

1. 提权路径
   • 当前权限不足 → 枚举 SUID、Cron、计划任务 → 提权到 root 或管理员
2. 横向渗透路径
   • 收集到其他主机凭证/密钥 → 使用 SSH、SMB、RDP 横向跳板
3. 敏感信息路径
   • 数据库配置、内部服务信息 → 获取敏感数据

4.选择路径的原则

• 优先易用/高收益的路径
  • 先尝试低风险的提权方式（可写目录、SUID、Cron）
  • 再进行横向渗透到关键资产（域控、数据库）
• 避免重复和冗余
  • 如果某台机器已经可用作跳板，不必再重复攻击低价值主机
• 考虑安全机制
  • 例如：防火墙、IDS/IPS → 选择隐蔽路径

5. 制定行动计划

• 按照攻击路径形成 “路线图”：
  1. 当前用户 → 提权到 root
  2. root → 横向渗透到关键服务器
  3. 获取敏感信息或域控凭证
  4. 维持访问（持久化）

简单比喻：把整个内网当作迷宫，你先标出钥匙和门的位置，然后规划最短最安全的路线去拿宝藏。

总结思路

1. 分类信息 → 用户、主机、服务、凭证、潜在漏洞
2. 评估目标价值 → 高权限、高敏感、高可利用
3. 分析攻击路径 → 提权/横向/敏感信息
4. 选择路径 → 易用、高收益、低风险
5. 制定行动计划 → 绘制路线图，逐步执行

第三阶段：稳定访问（持久化）

1.利用计划任务 / Cron Jobs

• Linux
  • /etc/crontab、/etc/cron.d/、用户 cron 任务
  • 持久化方式：写入恶意脚本或可执行文件，定时执行命令。
• Windows
  • Task Scheduler (schtasks /create)
  • 持久化方式：创建任务，执行 PowerShell 或恶意二进制文件。

2. 修改启动脚本 / 服务

• Linux
  • /etc/rc.local、systemd service
  • 添加恶意程序或脚本 → 系统启动即执行
• Windows
  • 注册表启动项 HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  • 放置可执行文件或脚本 → 系统启动自动运行

3. 利用用户凭证 / 密钥

• 收集 SSH 私钥、数据库账号、应用凭证
• 横向持久化：在其他主机上部署密钥，方便无密码访问
• 隐蔽性强：不修改系统文件，只依赖已有权限

4. 网络后门 / 反弹 shell

• 设置 反弹 shell 或 C2 通道，在目标机断开连接后自动重连
• 常用方法：
  • netcat、meterpreter 持久化模块
  • Webshell + 定时任务/计划任务

5. 权限提升后的隐藏账户

• 创建 低调管理员账号 或服务账户
• 用于灾难恢复或长期访问
• 注意不要触发管理员审计

好吧虽然大部分都是ai的因为我看了一下文章大致思路然后到ai这里来细问了

不过还是让我对内网渗透有一定的了解已经一些渗透思路了

希望下次我渗透到内网不会那么手足无措了，希望对你们有帮助