渗透测试之地基内网篇:域森林域内信息收集(上)
字数 1226 2025-08-14 12:04:14
内网渗透测试信息收集技术详解
一、前言与法律声明
渗透测试必须遵守《网络安全法》,未经授权的渗透测试属于违法行为。所有渗透测试行为必须在获得书面授权后进行。本文所有技术仅用于教育目的,模拟环境为自行搭建的测试环境。
二、环境判断与信息收集概述
1. 环境判断的三个关键方面
- 服务器角色判断:确定是Web服务器、开发测试服务器、DNS服务器等
- 网络拓扑分析:收集数据并绘制内网拓扑结构图
- 区域定位:判断机器位于DMZ、办公区还是核心区
2. 信息收集的重要性
信息收集的深度直接关系到内网渗透测试的成败。在内网环境中,需要收集以下关键信息:
- 服务器内网结构
- 服务器角色
- 使用者信息
- 安装的杀毒软件
- 上网方式
- 设备类型(笔记本/台式机等)
三、本机信息收集技术
1. 网络配置信息
ipconfig /all
关键信息:
- 网卡信息(IP地址、MAC地址)
- 主机名
- DNS服务器地址
- 域名信息(判断是否域内主机)
2. 操作系统及软件信息
# 查询操作系统和版本
systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本"
# 查看系统架构
echo %PROCESSOR_ARCHITECTURE%
# 查看安装的软件及版本
wmic product get name,version
powershell "get-wmiobject -class win32_product |select-object -property name,version"
3. 服务与进程信息
# 查询本机服务
wmic service list brief
# 查询进程列表
tasklist
进程列表可用于检测杀毒软件(可通过在线工具检测:https://www.ddosi.com/av/1.php)
4. 启动程序与计划任务
# 查看启动程序
wmic startup get command,caption
# 查看计划任务
chcp 437
schtasks /query /fo LIST /v > 1.txt
5. 用户与会话信息
# 查看用户列表
net user
net localgroup administrators
# 查看在线用户
query user || qwinsta
# 查看会话信息
net session
6. 端口与共享信息
# 查看端口列表
netstat -ano
# 查看共享列表
net share
wmic share get name,path,status
7. 路由与ARP缓存
# 查询路由表
route print
# 查询ARP缓存
arp -a
ARP表可帮助发现内网其他主机IP
8. 防火墙配置
# 关闭防火墙
netsh advfirewall set allprofiles state off
# 查看防火墙配置
netsh firewall show config
# 修改防火墙配置(示例:放行3389端口)
netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
9. 代理配置
reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"
10. 远程连接服务
# 查看远程连接端口
REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /V PortNumber
# 开启3389端口(Windows 7)
wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1
11. 自动信息收集脚本
使用WMIC进行全面的信息收集并输出到HTML:
for /f "delims=" %%A in ('dir /s /b %WINDIR%\system32\*htable.xsl') do set "var=%%A"
wmic process get CSName,Description,ExecutablePath,ProcessId /format:"%var%" >> dayu.html
wmic service get Caption,Name,PathName,ServiceType,Started,StartMode,StartName /format:"%var%" >> dayu.html
wmic USERACCOUNT list full /format:"%var%" >> dayu.html
wmic group list full /format:"%var%" >> dayu.html
wmic nicconfig where IPEnabled='true' get Caption,DefaultIPGateway,Description,DHCPEnabled,DHCPServer,IPAddress,IPSubnet,MACAddress /format:"%var%" >> dayu.html
wmic volume get Label,DeviceID,DriveLetter,FileSystem,Capacity,FreeSpace /format:"%var%" >> dayu.html
wmic netuse list full /format:"%var%" >> dayu.html
wmic qfe get Caption,Description,HotFixID,InstalledOn /format:"%var%" >> dayu.html
wmic startup get Caption,Command,Location,User /format:"%var%" >> dayu.html
wmic PRODUCT get Description,InstallDate,InstallLocation,PackageCache,Vendor,Version /format:"%var%" >> dayu.html
wmic os get name,version,InstallDate,LastBootUpTime,LocalDateTime,Manufacturer,RegisteredUser,ServicePackMajorVersion,SystemDirectory /format:"%var%" >> dayu.html
wmic Timezone get DaylightName,Description,StandardName /format:"%var%" >> dayu.html
12. 权限与域信息
# 查看当前权限
whoami
# 获取域SID
whoami /all
# 判断是否存在域
net config workstation
net time /domain
四、内网存活主机探测
1. NetBIOS探测
使用nbtscan工具扫描内网:
nbtscan.exe 10.10.3.0/24
可识别域控制器(标记为DC)
2. ICMP协议探测
for /L %I in (1,1,254) DO @ping -w 1 -n 1 10.10.3.%I | findstr "TTL="
3. ARP扫描
使用arp-scan工具:
arp-scan.exe -t 10.10.3.0/24
4. PowerShell脚本扫描
使用Nishang中的Invoke-ARPScan.ps1:
powershell -exec bypass -Command "& {Import-Module C:\Users\Administrator\Desktop\Invoke-ARPScan.ps1; Invoke-ARPScan -CIDR 192.168.253.0/24}"
五、端口与服务探测
1. Telnet端口探测
telnet [IP] [PORT]
常见渗透端口:22,80-89,110,389,1099,1433,2059,6379,7001,8080,1521,3306,3389,5432,53,161,137,139
2. 端口Banner信息
使用NC或其他工具获取服务Banner信息,可用于:
- 在漏洞库查找CVE编号
- 查找相关POC/EXP
- 验证漏洞存在性
参考资源:
- https://www.securityfocus.com/bid
- https://www.exploit-db.com/
六、总结与关键点
- 信息收集是内网渗透的基础:收集的深度直接影响渗透成功率
- 关键信息包括:
- 网络配置(IP、DNS、域名)
- 系统信息(版本、补丁、架构)
- 用户权限(本地/域用户、SID)
- 服务与端口(开放服务、防火墙配置)
- 内网拓扑(存活主机、域控制器位置)
- 工具与技术结合:手动命令与自动化脚本结合使用
- 持续更新知识:关注最新漏洞库和利用技术
通过系统化的信息收集,可以准确定位渗透目标,为后续的横向移动和权限提升奠定基础。