内网信息搜集实战指南：从入门到精准打击

第12章 第111课

内网信息搜集实战指南：从入门到精准打击

大家好，今天我们来拆解内网渗透中最关键的第一步——信息搜集。很多同学觉得这步很枯燥，但你要知道，摸清敌情才能精准打击 (￣ω￣;)

---

1. 内网信息搜集为什么重要？

类比：就像你刚转学到新班级，得先知道：

• 班长是谁？（域控）
• 谁和谁关系好？（主机间的信任关系）
• 教室后门有没有锁？（防火墙规则）

渗透测试的黄金法则：

“你所不知道的，一定会成为你的盲区”
——某个被内网SOC抓到的红队前辈

---

2. 我是谁？这是哪？我在哪？

(1) 我是谁？——判断当前机器角色

示例（检查本机服务）：

# 查看本机运行的典型服务
Get-Service | Where-Object { $_.Status -eq 'Running' } | Select-Object DisplayName
# 输出示例：
# DisplayName
# -----------
# World Wide Web Publishing Service# 可能是Web服务器
# DNS Server# 可能是DNS服务器
# Active Directory Domain Services# 可能是域控！

现实场景：如果你发现IIS Admin Service在运行，这台机器大概率是Web服务器，可以重点找网站源码或数据库连接字符串。

(2) 这是哪？——分析网络拓扑

关键命令：

arp -a# 查看局域网内其他主机的IP和MAC地址
tracert 10.0.0.1# 追踪路由，看数据包经过哪些网关

输出分析：

11 ms1 ms1 ms192.168.1.1# 第一跳是路由器
22 ms2 ms2 ms10.0.0.1# 第二跳可能是核心交换机
3***请求超时# 可能遇到防火墙

结论：如果tracert在第三跳超时，说明内网有分段隔离（比如办公区和核心区之间）。

(3) 我在哪？——判断所处安全域

DMZ特征：

• 开放80/443端口（Web服务）
• 能访问外网但无法直接连接内网数据库

办公区特征：

• 有打印机共享（net view \\192.168.1.100能看到共享）
• 能ping通域控（如ping dc01.corp.com）

核心区特征：

• 运行SQL Server、Oracle（端口1433/1521开放）
• 防火墙规则严格（nmap -sT -Pn 10.0.1.1大部分端口被过滤）

---

3. 本机信息搜集：从软件版本到用户习惯

(1) 基础信息收集（Windows版）

# 查看系统信息（精简版）
systeminfo | findstr /B /C:"OS Name" /C:"OS Version" /C:"Domain"
# 输出示例：
# OS Name:Microsoft Windows 10 Enterprise
# OS Version:10.0.19045 N/A Build 19045
# Domain:CORP.LAB# 确认是否在域内

# 查看安装的软件（注意带漏洞的旧版本）
wmic product get name,version | findstr /i "java adobe flash"
# 输出示例：
# Java 8 Update 231# 可能有反序列化漏洞！

(2) 用户行为分析

# 查看最近修改的文件（找敏感文档）
Get-ChildItem -Path C:\Users\ -Recurse -File | Sort-Object LastWriteTime -Descending | Select-Object -First 10
# 输出示例：
# C:\Users\Alice\Desktop\财务报告2023.xlsx# 值得关注！

(3) 网络连接与共享

# 查看当前网络会话（谁在访问本机）
net session
# 输出示例：
# 计算机用户名客户端类型
# \\192.168.1.50CORP\BobWindows 10
# 如果发现陌生IP，可能是横向移动的入口！

---

4. 手动搜集的骚操作（附代码）

(1) 查本地管理员——找提权路径

# 查看本地管理员组（可能有域用户被误加）
net localgroup administrators
# 输出示例：
# CORP\Domain Admins# 正常
# CORP\HelpDesk_User# 可能过度授权！

(2) 挖计划任务——找持久化机会

# 查看计划任务（可能有备份脚本带明文密码）
schtasks /query /fo LIST /v | findstr /i "backup sql"
# 输出示例：
# TaskName:\DailyDBBackup
# Run As User: CORP\BackupAdmin
# Command:C:\scripts\backup.ps1# 检查这个脚本！

(3) 开机时间——判断运维习惯

net statistics workstation | findstr "since"
# 输出示例：
# Statistics since 2023-10-01 08:00:00# 如果开机3个月没重启，可能补丁没更新！

---

5. 实战技巧：避开蜜罐与日志监控

(1) 低调查询进程

# 用WMI替代tasklist（更隐蔽）
Get-WmiObject Win32_Process | Select-Object Name,ProcessId,CommandLine
# 输出示例：
# Name: powershell.exe
# CommandLine: "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -enc JABzAD0A...# 发现Base64编码的恶意命令！

(2) 清理痕迹

# 删除最近运行记录（需管理员权限）
Remove-Item -Path "C:\Users\*\AppData\Roaming\Microsoft\Windows\Recent\*" -Recurse -Force

注意：企业环境通常有EDR监控进程创建，慎用net user /domain这类高噪音命令！

---

6. 总结：信息搜集的终极目标

1. 绘制地图：整理出IP、服务、用户关系表（用Excel或BloodHound）。
2. 找到弱点：比如未打补丁的Windows 7、弱密码的MySQL。
3. 制定路线：决定从Web服务器→数据库服务器→域控的渗透路径。

最后提醒：

• 在合法授权范围内测试！
• 别用rm -rf /这种坑自己操作 (╯°□°）╯︵ ┻━┻
• 遇到蜜罐及时撤退（比如突然开放的3389端口可能是陷阱）

下次我们讲横向移动与权限提升，记得三连催更！（开玩笑的，认真学就行）