文章总结： 文档详细介绍了内网信息收集的基本流程与技术方法。涵盖本机系统与网络信息查询、当前权限判断、域环境探测、存活主机发现及端口扫描等关键环节。通过systeminfo、whoami、ipconfig等系统命令，帮助测试人员全面掌握内网结构与攻击面，为后续横向移动与权限提升提供基础数据支持，对提升内网安全防御意识具有实战指导意义。 综合评分： 87 文章分类： 内网渗透,渗透测试,红队,网络安全

---

内网信息收集基本方式

原创

dcnb

Web安全基础与实践

2025年12月19日 20:30 广东

随着信息技术的快速发展，企业与机构内部网络的规模和复杂性不断提升，内网已成为承载核心业务系统与敏感数据的关键环境。在此背景下，内网安全问题日益突出，一旦攻击者突破外围防护进入内网，往往可以借助内部系统配置不当或权限管理薄弱等问题，迅速扩大攻击范围并造成严重影响。因此，系统化地掌握内网信息收集的方法与思路，对于开展渗透测试、提升防御能力以及培养网络安全实战意识具有重要意义。本文档将围绕内网信息收集的基本流程与常用技术展开介绍。

1、内网信息收集概述

内网信息收集是渗透测试与内网安全评估中的基础环节，指攻击者或安全测试人员在成功进入目标内网环境后，通过系统命令、配置文件、网络探测等方式，对当前主机及其所处网络环境进行全面的信息摸排。其目的是尽可能的掌握内网结构、主机角色、权限级别以及潜在的攻击路径，为后续的横向移动、权限提升和域渗透提供依据。

在实际攻防场景中，内网信息收集通常围绕以下几个方面展开：本机系统与硬件信息、当前登录用户及权限、网络配置与通信情况、是否存在域环境及域控主机等。通过系统化、分阶段的信息收集，可以有效避免盲目操作，提高攻击成功率，同时也有助于防守方识别内网中存在的安全薄弱点。

2、查询本机信息

本教材以Windows 10 攻击机中进行内网信息收集为例进行演示。

查询本机信息是内网信息收集的第一步，主要用于了解当前主机的操作系统类型、版本、补丁情况以及硬件和网络基础信息。

2.1 操作系统与主机信息

在Windows 系统中，可通过以下常用命令获取系统基本信息：

（1）Systeminfo：用于显示操作系统名称、版本号、系统安装时间、补丁信息以及硬件架构等。如图1所示。

图1  systeminfo示例

（2）Hostname：用于查看当前主机名，主机名在域环境中通常具有重要标识意义。如图2所示。

（3）Ver：用于快速查看Windows 内核版本。如图2所示。

图2  ver和hostname示例

2.2 用户与登录信息

（1）Whoami：查看当前登录的用户名及所属域信息。

（2）query user 或 qwinsta：查看当前系统中已登录的用户会话，有助于判断是否存在其他高权限用户在线，如图3所示。

图3  用户与登录信息示例

2.3 网络配置信息

（1）ipconfig /all：查看本机IP 地址、子网掩码、网关、DNS 服务器等网络配置，用于判断当前所处网段及可能的内网范围。如图4所示。

图4  查看网络配置示例

（2）arp -a：查看ARP 缓存表，获取内网中曾通信过的主机 IP 与 MAC 地址信息。如图5所示。

图5  查看arp缓存表示例

通过上述信息，可以初步判断当前主机的网络位置以及是否存在进一步横向探测的可能。

3、查询当前权限

权限级别直接决定了后续操作的可行性，因此必须优先确认当前账户的权限情况。

3.1当前用户权限判断

(1)  whoami /priv：查看当前用户拥有的系统特权，例如是否具备SeDebugPrivilege、SeImpersonatePrivilege 等关键权限。如图6所示

图6  whoami/priv示例

(2) whoami /groups：查看当前用户所属的用户组，如Administrators、Users、Domain Users 等。如图7所示。

图7  whoami/groups示例

3.2是否为管理员权限

net session：若命令执行成功且无拒绝访问提示，通常表示当前用户具有本地管理员权限。

尝试访问系统关键目录（如C:\Windows\System32）或执行管理类命令，也可作为辅助判断依据。如图8所示。

图8  net session示例

明确当前权限后，可以决定是否需要进行权限提升，或直接开展更高风险的内网操作。

4、判断是否存在域

判断当前环境是否为域环境是内网渗透中的关键步骤之一。域环境意味着存在集中式的身份认证与管理系统，攻击路径和目标将发生显著变化。

4.1 判断是否加入域

（1）Systeminfo：查看“域”字段，若显示具体域名，则说明当前主机已加入域；若显示为 WORKGROUP，则为工作组环境。如图9所示

图9  判断主机是否加入域

（2）whoami：若用户名格式为域名\用户名，通常说明当前用户来自域环境。如图10所示。

图10  判断用户是否来自域环境

4.2 域信息与域控制器探测

（1）net config workstation：查看工作站配置，其中可获取域名信息。如图11所示。

图11  查看工作站配置

（2）nltest /dsgetdc:域名：用于定位域控制器（需已知域名）。如图12所示。

图12  nltest示例

（3）echo %logonserver%：查看当前用户登录所使用的域控制器主机名。如图13所示。

图13  查看域控制器主机名

5、探测域内存活的主机

在确认当前环境存在域或具备内网通信能力后，下一步需要对域内或内网中的存活主机进行探测。该过程的主要目的是识别内网中可访问的主机资产，明确潜在的攻击目标范围，为后续端口扫描、服务识别及横向移动提供基础数据支持。

5.1 基于网络配置的信息推断

在前期已获取本机IP 地址、子网掩码及网关信息的基础上，可以推断当前所处的内网网段。例如，通过 ipconfig /all 获取到的 IPv4 地址与子网掩码，可用于计算可能存在其他主机的 IP 范围。

5.2 使用ICMP 探测存活主机

ICMP 探测是最常见、最基础的内网主机发现方式，通常通过 Ping 请求判断目标主机是否在线。

常用命令包括：

（1）ping 目标IP：用于测试单个主机是否存活。

（2）for /L %i in (1,1,254) do ping -n 1 -w 200 192.168.1.%i：用于对同一网段内的主机进行批量探测（在命令行环境下执行）。如图14所示。

图14  ping示例

通过ICMP 探测，可以快速获取一批可达主机的 IP 地址，但需要注意的是，部分主机或防火墙可能会禁用 ICMP 响应，因此无法完全依赖 Ping 结果判断主机是否真实存在。

5.3域环境下的主机枚举

在域环境中，若具备一定权限，还可通过域相关命令获取域内主机信息，例如：

（1）net view：查看当前网络中可见的主机列表。如图15所示。

图15  net view示例

（2）net view /domain：查看域列表。

（3）net view /domain:域名：查看指定域中的计算机信息。

通过以上方式，可以初步构建域内主机资产清单，为后续扫描与分析奠定基础。

6、扫描域内端口

在获取域内或内网中存活主机列表后，需要进一步对目标主机的端口与服务进行扫描。端口扫描的目的是识别主机上开放的网络服务，从而判断其功能角色及潜在的攻击入口。

6.1 端口扫描的意义

不同端口通常对应不同的服务，例如文件共享、远程管理、数据库或Web 服务等。通过端口扫描，可以判断主机的用途（如服务器或普通终端）、发现可被利用的服务入口、为漏洞检测与横向移动提供依据。

6.2 常见关键端口说明

在域内环境中，以下端口尤为重要：

（1）135、139、445：Windows RPC 与 SMB 服务，常用于文件共享和远程管理。

（2）3389：远程桌面服务（RDP）。

（3）389、636：LDAP / LDAPS（域目录服务）。

（4）88：Kerberos 认证服务。

（5）80、443：Web 服务。

（6）1433、3306：常见数据库服务端口。

对这些端口的开放情况进行重点关注，有助于快速识别高价值目标

6.3基于系统命令的端口信息获取

在已获取一定访问权限的情况下，可在目标主机本地查看端口监听情况：

（1）netstat -ano：查看当前系统所有监听端口及对应的进程ID。如图16所示。

图16  查看监听端口示例

（2）tasklist | findstr PID：根据端口对应的PID 查询具体进程

（3）net view /domain:域名：查看指定域中的计算机信息。

通过端口与进程的对应关系，可以判断服务类型及其运行权限。

7、总结

内网信息收集是内网安全测试的核心基础阶段，其质量直接影响后续攻击或防御分析的成效。通过系统性地收集本机信息、权限信息以及网络与域环境信息，测试人员可以对目标内网形成清晰、结构化的认知。

在实际操作中，应遵循由浅入深、由被动到主动的原则，优先使用系统自带命令进行信息获取，减少异常行为带来的风险。同时，从防守角度看，内网信息收集的便利性也反映了系统暴露面的大小。加强权限控制、日志审计以及网络隔离，是降低内网风险的重要手段。

本文由蔡家威同学投稿。

• END –

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Web安全基础与实践 dcnb《内网信息收集基本方式》