内网渗透信息收集
字数 1523 2025-08-15 21:30:57

内网渗透信息收集技术详解

一、内网基础信息收集

1. 内网网段信息

  • 目的:了解内网结构,为横向渗透做准备
  • 方法
    • 查看网卡信息:ipconfig /all (Windows) 或 ifconfig (Linux)
    • 路由表信息:route print (Windows) 或 route -n (Linux)
    • ARP缓存:arp -a (Windows/Linux)

2. 内网规模评估

  • 目的:判断网络复杂度和潜在价值目标
  • 方法
    • 扫描活跃主机:for /L %i in (1,1,255) do @ping -n 1 192.168.1.%i | find "回复"
    • 使用工具:Nmap, Masscan等

二、内网业务信息收集

1. 关键业务系统识别

  • OA办公系统
  • 邮件服务器
  • 网络监控系统
  • 财务应用系统
  • 核心产品源码库
  • 数据库服务器

2. 业务系统发现方法

  • 端口扫描识别服务
  • 分析hosts文件:C:\Windows\System32\drivers\etc\hosts
  • 检查DNS缓存:ipconfig /displaydns
  • 浏览器历史记录分析

三、系统敏感信息收集

1. 凭证收集技术

  • 工具

    • Mimikatz:提取内存中的凭据
    • WCE (Windows Credentials Editor)
    • Invoke-WCMDump:导出凭据管理器中的凭据
    • vaultcmd:Windows自带凭据管理工具

  • 凭据存储位置

    • %localappdata%\Microsoft\Vault
    • 注册表中的LSA secrets
    • 浏览器保存的密码和cookies

2. 用户习惯分析

  • 关键位置
    • C:\Windows\SchedLgU.txt:计划任务日志
    • C:\Windows\Prefetch:程序运行记录
    • C:\Users\[用户名]\Recent:最近访问文件
    • 收藏夹和文档目录

3. 系统配置信息

  • 补丁信息

    • systeminfo
    • wmic qfe list full

  • 进程列表

    • Windows: tasklist
    • Linux: ps -aux, top

  • 端口信息

    • Windows: netstat -ano
    • Linux: netstat -ntulp

四、内网渗透实战技术

1. 用户和权限枚举

  • Windows

    • 当前用户:whoami
    • 本地用户:net user
    • 用户详细信息:net user [用户名]
    • 域用户:net user /domain

  • Linux

    • 当前用户:whoami, id
    • 登录用户:who
    • 所有用户:cat /etc/passwd

2. 网络拓扑探测

  • 无线网络凭据获取
    netsh wlan show profiles
netsh wlan show profile name="网络名称" key=clear

3. 杀毒软件检测

  • 方法
    • 进程列表分析
    • 服务列表检查:sc queryGet-Service
    • 常见杀软进程识别

五、高级信息收集技术

1. 数据库密码获取

  • 配置文件分析(web.config, .env文件等)
  • 连接字符串提取
  • 内存dump分析

2. 浏览器数据提取

  • Chrome密码和cookies提取
  • Firefox配置文件分析
  • 浏览器历史记录解析

3. Windows凭据管理器利用

  • 使用Invoke-WCMDump
    Import-Module .\Invoke-WCMDump.ps1
Invoke-WCMDump

六、防御措施规避

  1. 清除日志痕迹
  2. 使用内存操作避免写入磁盘
  3. 时间点选择(非工作时间)
  4. 流量伪装和加密

七、工具资源

本技术文档仅用于安全研究和授权测试,未经授权对他人系统进行渗透测试属于违法行为。

内网渗透信息收集技术详解 一、内网基础信息收集 1. 内网网段信息 目的 :了解内网结构,为横向渗透做准备 方法 : 查看网卡信息: ipconfig /all (Windows) 或 ifconfig (Linux) 路由表信息: route print (Windows) 或 route -n (Linux) ARP缓存: arp -a (Windows/Linux) 2. 内网规模评估 目的 :判断网络复杂度和潜在价值目标 方法 : 扫描活跃主机: for /L %i in (1,1,255) do @ping -n 1 192.168.1.%i | find "回复" 使用工具:Nmap, Masscan等 二、内网业务信息收集 1. 关键业务系统识别 OA办公系统 邮件服务器 网络监控系统 财务应用系统 核心产品源码库 数据库服务器 2. 业务系统发现方法 端口扫描识别服务 分析hosts文件: C:\Windows\System32\drivers\etc\hosts 检查DNS缓存: ipconfig /displaydns 浏览器历史记录分析 三、系统敏感信息收集 1. 凭证收集技术 工具 : Mimikatz:提取内存中的凭据 WCE (Windows Credentials Editor) Invoke-WCMDump:导出凭据管理器中的凭据 vaultcmd:Windows自带凭据管理工具 凭据存储位置 : %localappdata%\Microsoft\Vault 注册表中的LSA secrets 浏览器保存的密码和cookies 2. 用户习惯分析 关键位置 : C:\Windows\SchedLgU.txt :计划任务日志 C:\Windows\Prefetch :程序运行记录 C:\Users\[用户名]\Recent :最近访问文件 收藏夹和文档目录 3. 系统配置信息 补丁信息 : systeminfo wmic qfe list full 进程列表 : Windows: tasklist Linux: ps -aux , top 端口信息 : Windows: netstat -ano Linux: netstat -ntulp 四、内网渗透实战技术 1. 用户和权限枚举 Windows : 当前用户: whoami 本地用户: net user 用户详细信息: net user [用户名] 域用户: net user /domain Linux : 当前用户: whoami , id 登录用户: who 所有用户: cat /etc/passwd 2. 网络拓扑探测 无线网络凭据获取 : 3. 杀毒软件检测 方法 : 进程列表分析 服务列表检查: sc query 或 Get-Service 常见杀软进程识别 五、高级信息收集技术 1. 数据库密码获取 配置文件分析(web.config, .env文件等) 连接字符串提取 内存dump分析 2. 浏览器数据提取 Chrome密码和cookies提取 Firefox配置文件分析 浏览器历史记录解析 3. Windows凭据管理器利用 使用Invoke-WCMDump : 六、防御措施规避 清除日志痕迹 使用内存操作避免写入磁盘 时间点选择(非工作时间) 流量伪装和加密 七、工具资源 Mimikatz手册 : 百度网盘链接 密码: qnjp Invoke-WCMDump : GitHub地址 本技术文档仅用于安全研究和授权测试,未经授权对他人系统进行渗透测试属于违法行为。