文章总结： 本文详解内网渗透信息收集实战，强调隐蔽性与数据关联。内容涵盖主机及网络侦察、域环境权限获取、应用资产发现等核心技巧，并提供了检测与反制建议。旨在指导安全人员高效绘制内网地图，兼顾攻击技巧与防御视角。 综合评分： 90 文章分类： 内网渗透,渗透测试,红队,实战经验,安全运营

内网渗透信息收集实战技巧

安融技术 安融技术

安融技术

2026年1月20日 11:36 广东

在渗透测试领域，”信息收集”是贯穿整个攻击链的核心环节，其重要性占比超过60%。与外网渗透不同，内网环境如同一个”黑箱”——拓扑结构不明、资产清单不全、权限体系复杂。本文将系统梳理内网信息收集的实战技巧，旨在帮助安全人员在进行合法授权的安全评估时，能够高效、精准地绘制内网”作战地图”。

一、内网信息收集的黄金法则

1.1 隐蔽性优先

低频慢速：避免触发IDS/IPS阈值（如ARP扫描间隔>5秒）。

协议伪装：利用合法协议（如LLMNR、NBNS）进行被动侦察。

凭证利用：优先使用已获取的合法账户，避免匿名扫描。

1.2 数据关联思维

单一信息价值有限，需建立”IP→主机名→用户→权限→应用”的关联图谱。例如：

通过NetBIOS名称发现文件服务器 → 检查开放共享 → 寻找配置文件 → 提取数据库连接串。

二、主机层信息收集：立足之本

2.1 Windows环境快速侦察

关键信息点：

系统版本：判断是否存在已知提权漏洞（如Windows 7/2008R2的MS17-010）。

补丁情况： Get-HotFix 查看KB编号，寻找缺失的补丁。

凭证残留： cmdkey /list 查看保存的RDP凭证， ls C:\Users\*\AppData\Local\Google\Chrome\User Data\Default\Login Data

2.2 Linux环境信息收割

三、网络层信息收集：绘制拓扑

3.1 存活主机发现（无扫描器场景）

ARP探测（root权限）

for i in {1..254}; do ping -c 1 192.168.1.$i | grep “bytes from” & done

PowerShell ICMP探测

1..254 | % {Test-Connection -Count 1 -ComputerName 192.168.1.$_ -AsJob} | Wait-Job | Receive-Job

高级技巧：利用 arp -a 查看本机ARP缓存，往往能快速定位网关、DNS等关键设备。

关键端口：

445 (SMB)：域控制器、文件服务器

3389 (RDP)：管理员工作机

1433/3306/5432：数据库服务器

636 (LDAPS)：域控安全端口

5985/5986 (WinRM)：Powershell远程管理

3.3 路由与VLAN发现

查看路由表发现多网段

route print (Windows) / ip route (Linux)

CDP/LLDP信息窃取（针对思科/华为设备）

tcpdump -i eth1 -nn -v -c 1 ‘ether[20:2] == 0x2000’ # CDP

tcpdump -i eth1 -nn -v ‘ether proto 0x88cc’ # LLDP

四、域环境信息收集：核心战场

4.1 无域用户权限侦察

探测域控（通过DNS SRV记录）

nslookup -type=SRV _ldap._tcp.dc._msdcs.contoso.com

获取域用户列表（通过匿名LDAP）

adfind -b “DC=contoso,DC=com” -f “(objectClass=user)” -csv name samaccountname

4.2 普通域用户权限提效

获取域架构全景

Get-ADDomain | Select Name,DomainMode,DistinguishedName

Get-ADForest | Select Domains,GlobalCatalogs

寻找Kerberoastable用户（SPN账户）

Get-ADUser -Filter {ServicePrincipalName -ne “$null”} -Properties ServicePrincipalName

查找非约束委派主机

Get-ADComputer -Filter {TrustedForDelegation -eq $true}

定位域管登录过的主机

Get-ADComputer -Filter * -Property lastLogon | Where {$_.lastLogon -gt (Get-Date).AddDays(-30)}

4.3 组策略（GPO）挖掘

查找包含密码的GPO（常见 misconfig）

Find-GPOLocation -PasswordOnly | Select GPO,Preference,Password

Get-GPPPassword # 从SYSVOL提取cPassword

黄金信息：GPO中的”计划任务”和”服务配置”常明文存储域管密码。

五、应用层信息收集：定向打击

5.1 Web应用资产梳理

快速识别内网Web服务

nmap -p80,443,8080,8443 –open -sV 10.0.0.0/8 -oG – | awk ‘/open/{print $2}’

目录爆破（低调模式）

ffuf -u http://target/FUZZ -w dirbuster.txt -t 5 -rate 30 -H “User-Agent: Internal-Scanner”

5.2 数据库服务侦察

— SQL Server 无凭证探测

SELECT name FROM master.dbo.sysdatabases WHERE HAS_DBACCESS(name) = 1

— MySQL 用户枚举（5.7以下版本）

SELECT user,host FROM mysql.user;

5.3 共享资源与文件猎取

枚举域内所有共享（包括隐藏共享）

Get-Content domain-ips.txt | ForEach-Object {net view $_ /all}

搜索敏感文件

gci \fileserver\share -Recurse -Include *.ps1,*.bat,*.config,*.xml,*.txt | Select-String “password|pwd|密钥”

六、高级技巧：被动与痕迹规避

6.1 流量监听分析

使用Responder监听LLMNR/NBNS请求

responder -I eth0 -A # 仅分析不投毒

提取NTLMv2哈希用于离线破解

tcpdump -i eth0 -w ntlm.pcap ‘tcp port 445 or tcp port 139’

6.2 日志分析与情报提取

安全日志中的登录足迹

Get-WinEvent -FilterHashtable @{Logname=’Security’;ID=4624} | Where {$_.Message -match “administrator”}

七、工具链：从手工到自动化

八、防御视角：检测与反制

8.1 检测信息收集行为

SIEM规则：统计单IP的ARP/DNS请求频率（阈值：>50次/分钟）

蜜罐账户：创建虚假域账户（如svc_backup ），设置登录告警

网络行为基线：识别 nmap 、 adfind 等工具的默认User-Agent和流量模式

8.2 主动防御措施

禁用LLMNR/NBNS：通过GPO关闭明文名称解析

LDAP签名：强制LDAP over TLS，防止明文嗅探

PowerShell日志：开启ScriptBlockLogging和ModuleLogging

网络隔离：VLAN微分段，限制广播域

最终建议：始终保持”假设已被监控”的警觉，优先使用目标环境原生工具（如PowerShell、WMI），将操作痕迹融入日常管理行为，这才是高级内网渗透的精髓。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安融技术 安融技术 安融技术《内网渗透信息收集实战技巧》