内网信息收集全面指南

一、内网环境基础概念

1.1 工作组与域环境比较

• 工作组：计算机的逻辑集合，各自管理，访问其他计算机需要被访问计算机的用户验证
• 域：有安全边界的计算机集合，域内计算机已建立信任关系，域内访问不需要被访问机器许可
• 攻击差异：ARP欺骗、DNS欺骗只在工作组有效，域环境有更严格的安全机制

1.2 基本网络框架组成

1. DMZ区域：

   • 非严格意义上的内网
   • 通常配置为内网可访问DMZ，但DMZ不能访问内网
   • Web环境获取的权限通常位于DMZ

2. 内网区域：

   • 包含服务器、办公电脑等
   • 办公区防护较弱（基本为杀毒软件或主机入侵检测）
   • 服务器、域控制器防护较强
   • 主要目标通常是域控制器

3. AD域控制器：

   • 主要在Windows Server系统
   • Linux很少用作域控制器（管理复杂，功能较少）
   • Windows域控制器优势：图形化界面，易于管理

二、信息收集方法论

2.1 基本信息收集

目的：了解服务器计算机基本信息、防护强弱，判断服务器角色和网络环境

1. 系统信息收集：

   • systeminfo：查看计算机版本、补丁编号
   • net start：查看启动的服务
   • tasklist：查看进程列表
   • schtasks /query /fo LIST /v：查看计划任务详情

2. SPN扫描：

   • 服务主体名称，Kerberos认证必需
   • 命令：setspn -T 域名 -Q */*（如：setspn -T rootkit.org -Q */*）
   • 可发现内网存在的MSSQL等服务

3. 软件信息：

   • PowerShell: Get-WmiObject -class Win32_Product |Select-Object -Property name,version
   • 或 wmic product get name,version

4. 域信任关系：

   • nltest /domain_trusts：获取域信任列表

5. 服务信息：

   • wmic service list brief：获取本机服务信息

6. 防火墙配置：

   • netsh firewall show config：查看防火墙配置

7. 日志信息：

   • wmic nteventlog get path,filename,writeable：检查日志是否可修改

2.2 网络信息收集

目的：了解服务器网络接口信息，判断主机角色、功能和网络架构

1. 网络配置：

   • ipconfig /all：判断是否存在域（有域的有DNS后缀）

2. 域信息：

   • net time /domain：获取主域名（主域计算机名）
   • 配合nslookup或ping获取主域IP

3. 端口信息：

   • netstat -ano：查看当前网络端口开放情况

4. 存活主机探测：

   • Linux：

     for i in {132..254}; do ping -q -i 0.01 -c 3 192.168.64.$i &> /dev/null && echo 192.168.64.$i is alive; done
     

   • Windows：

     for /l %p in (143,1,254) do @ping -l 1 -n 3 -w 40 192.168.3.%p & if errorlevel 1 (echo 192.168.3.%p>>na.txt) else (echo 192.168.3.%p>>wangcheng.txt)
     

     • na.txt记录不通的主机
     • wangcheng.txt记录可通的主机

2.3 用户信息收集

目的：了解计算机或域环境下的用户及用户组信息

1. 系统默认用户身份：

   • Domain Admins：域管理员（默认对域控制器有完全控制权）
   • Domain Computers：域内机器
   • Domain Controllers：域控制器
   • Domain Users：域用户
   • Domain Guest：域访客（权限低）
   • Enterprise Admins：企业系统管理员用户

2. 用户权限：

   • whoami /all：获取当前用户权限

3. 登录信息：

   • net config workstation：获取登录信息

4. 用户信息：

   • net user：获取本地用户
   • net user /domain：获取域用户信息
   • wmic useraccount get /all：查看域用户详细信息

5. 用户组信息：

   • net localgroup：获取本地用户组信息
   • net group "Enterprise Admins" /domain：查询管理员用户组成员
   • net group "Domain users" /domain：查看域用户组成员

6. 在线用户：

   • query user 或 qwinsta：查看当前在线用户

2.4 凭证信息收集

目的：收集各种密文、明文、口令等，为横向渗透做准备

1. WiFi信息收集：

   • Netsh wlan show profiles：获取登录过的WiFi名称
   • netsh wlan show profile name="WiFi名称" key=clear：获取特定WiFi密码
   • 批量获取：

     for /f "skip=9 tokens=1,2 delims=:" %i in ('netsh wlan show profiles') do @echo %j | findstr -i -v echo | netsh wlan show profiles %j key=clear
     

2. Windows凭据：

   • cmdkey /list：列举系统中的Windows凭据

3. 保管库凭据：

   • vaultcmd /list：列出保管库(vault)列表
   • vaultcmd /listcreds:{GUID}：列出特定保管库下的凭据
   • Vaultcmd /listproperties:{GUID}：列出保管库属性

4. 密码破解工具：

   • mimikatz：破解计算机中的账号密码
     • GitHub: https://github.com/gentilkiwi/mimikatz/releases/
   • XenArmor：专用于破解密码（商业软件）
     • 官网: https://xenarmor.com/

三、自动化信息收集工具

1. GDA.bat：

   • GitHub: https://github.com/nullbind/Other-Projects/tree/master/GDA

2. PowerSploit：

   • GitHub: https://github.com/PowerShellMafia/PowerSploit

3. Nishang：

   • GitHub: https://github.com/samratashok/nishang

4. Metasploit：

   • GitHub: https://github.com/rapid7/metasploit-framework

5. PowerTools：

   • GitHub: https://github.com/PowerShellEmpire/PowerTools

6. wmic_info.bat脚本：

   • 下载地址: http://www.fuzzysecurity.com/scripts/files/wmic_info.rar
   • 输出结果为out.html

四、实践环境

• 单域环境下载：
  • 百度网盘: https://pan.baidu.com/s/1CDHV3jjV9rE6aPETGFotkQ
  • 提取码: 6666

五、常见问题解答

Q: 为什么ARP欺骗无法在域中进行？

A: 域环境通常有更严格的安全机制和网络配置，ARP欺骗在域环境中效果有限，因为：

1. 域控制器和成员服务器之间有更安全的认证机制
2. 域环境通常配置了防止ARP欺骗的安全策略
3. 域内的通信通常使用更高级的安全协议，不易被简单的ARP欺骗干扰

六、总结

内网信息收集是渗透测试中至关重要的阶段，其深度与广度直接影响渗透测试的质量。本指南涵盖了从基础环境认知到详细的信息收集技术，包括系统信息、网络信息、用户信息和凭证信息的收集方法，以及自动化工具的使用。掌握这些技术可以帮助安全人员全面了解目标网络环境，为后续的渗透测试工作奠定坚实基础。