内网信息收集技术详解

文章前言

内网渗透测试中，信息收集的深度与广度以及对关键信息的提取能力直接决定了渗透测试的质量。本文全面介绍内网信息收集的各项技术和方法。

主机信息收集

网络配置信息

ipconfig /all

此命令可查看当前机器是否处于内网、内网网段、DNS地址和域名信息。

操作系统信息

systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本"  # 中文系统
systeminfo | findstr /B /C:"OS Name" /C:"OS Version"  # 英文系统

软件信息

systeminfo

查看目标主机上安装的第三方应用，寻找可能的漏洞利用点。

服务信息

wmic service list brief

获取本机服务信息，寻找可利用的服务。

杀毒软件检测

wmic /namespace:\\root\securitycenter2 path antivirusproduct GET displayName,productState, pathToSignedProductExe

远程桌面服务管理

检查RDP端口：

REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /V PortNumber

开启RDP服务：

Windows Server 2003:

wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1

Windows Server 2008/2012:

wmic /namespace:\\root\cimv2\terminalservices path win32_terminalservicesetting where (__CLASS !="") call setallowtsconnections 1
wmic /namespace:\\root\cimv2\terminalservices path win32_tsgeneralsetting where (TerminalName='RDP-Tcp') call setuserauthenticationrequired 1
reg add "HKLM\SYSTEM\CURRENT\CONTROLSET\CONTROL\TERMINAL SERVER" /v fSingleSessionPerUser /t REG_DWORD /d 0 /f

计划任务

schtasks /query /fo LIST /v

用户信息

本地用户列表：

net user

本地管理员组：

net localgroup administrators

当前在线用户：

query user || qwinsta

端口信息

netstat -ano

查看端口列表及对应服务和应用程序。

补丁信息

systeminfo
wmic qfe get Caption,Description,HotFixID,InstalledOn

防火墙配置

netsh firewall show config

关闭防火墙：

Windows Server 2003及之前：

netsh firewall set opmode disable

Windows Server 2003之后：

netsh advfirewall set allprofiles state off

域环境检测

基本检测方法

ipconfig /all
net config workstation

域信息收集

ICMP探测内网：

for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.174.%I | findstr "TTL="

ARP探测内网（使用MSF）：

msf > use auxiliary/scanner/discovery/arp_sweep
msf > set interface eth0
msf > set smac 00:0c:29:92:fd:85
msf > set rhosts 192.168.174.1/24
msf > set threads 20
msf > set shost 192.168.174.131
msf > run

TCP/UDP端口扫描（使用ScanLine）：

scanline -h -t 22,445,3389 -u 53,161,137,139 -O c:\windows\temp\log.txt -p 192.168.174.1-254 /b

MSF端口扫描：

msf > use auxiliary/scanner/portscan/tcp

PowerShell端口扫描：

Invoke-Portscan -Hosts 192.168.174.0/24 -T 4 -ports '445,1433,8080,3389,80' -oA c:\windows\temp\res.txt

域信息查询

查询域信息：

net view /domain

查询域内主机：

net view /domain:XXX

查询域用户组：

net group /domain

域控制器定位

方法1：

Nslookup -type=SRV _ldap._tcp

方法2：

net time /domain

方法3：

net group "Domain Controllers" /domain

域用户信息

net user /domain

使用dsquery工具：

dsquery computer       # 查找计算机
dsquery contact        # 查找联系人
dsquery subnet         # 查找子网
dsquery group          # 查找群组
dsquery ou             # 查找组织单位
dsquery site           # 查找站点
dsquery server         # 查找域控制器
dsquery user           # 查找用户
dsquery quota          # 查找配额规格
dsquery partition      # 查找磁盘分区
dsquery *              # 使用LDAP查询查找任何对象

域管理员查询

net group "Domain Admins" /domain

域SID信息

whoami /all

当前权限查询

通过命令输出判断当前用户是：

• 本地普通用户
• 本地管理员用户
• 域内用户

相关工具

1. PowerSploit: https://github.com/PowerShellMafia/PowerSploit
2. Nishang: https://github.com/samratashok/nishang
3. Metasploit: https://github.com/rapid7/metasploit-framework
4. Empire: https://github.com/EmpireProject/Empire
5. PowerTools: https://github.com/PowerShellEmpire/PowerTools

推荐GitHub项目

1. CSPlugins: https://github.com/Al1ex/CSPlugins

   • 收集常用Cobalt Strike插件，涉及提权、漏洞利用、横向移动、信息收集、免杀等

2. Pentest-tools: https://github.com/Al1ex/Pentest-tools

   • 收集内网渗透测试常用工具

总结

内网信息收集是渗透测试的关键环节，本文涵盖了从主机信息收集到域环境探测的全面技术。实际渗透测试中，信息收集的广度和深度应根据目标环境灵活调整，这些技术和方法可根据实际情况组合使用。