【网络安全收藏】内网渗透实战宝典:从信息收集到获取域最高权限(收藏备用)

发布时间:2026/6/18 9:13:22
【网络安全收藏】内网渗透实战宝典:从信息收集到获取域最高权限(收藏备用)
文章介绍了内网渗透的核心思路和技术要点强调内网渗透的本质是获取域最高权限。详细讲解了信息收集阶段包括webshell本地信息收集、网络环境分析和域信息收集权限提升的时机和方法以及横向移动的多种策略如内网代理、利用共享资源、密码爆破和内网重打等。文章强调了思路的重要性而非仅仅是工具使用为读者提供了系统化的内网渗透方法论。前言你是不是也有过这种感觉明明照着教程一步步操作但为什么总觉得差点什么好像少了点“火花”。那种“成功就在眼前”却又无法触及的沮丧感是不是太熟悉了其实这正是我曾经遇到的困境。许多教程都告诉你用哪个工具、敲哪些命令但很少有文章真正去讲“背后的思路”。也就是说别人是怎么思考每个步骤的什么时候该做什么操作这个“思路”才是渗透成功的关键。01 — 免责声明本实验仅限学术研究参与者需遵守法律法规操作过程中产生的任何风险、损失与本人无关。请确保合法合规使用避免任何违法行为。第一部分的正文内容从这里开始。02 — 思维导图就外部打点来说技术就那些能够拿下站点的方式也就那些这里就不多说了。我们主要来说一下内网渗透这一块的咱们先来看一下简单的思维导图总的来说很简单内网渗透的本质其实就是获取域最高权限中间不管是用什么办法都是为了获取最高权限。03 — 信息收集思路想好了内网渗透的最终目的就是为了账号密码到了信息收集这里也就很简单了也是为了找账号密码当然还有网络环境判断当前机器所处环境。当拿到了一个webshell后一定要把这个webshell的价值榨取干净1.webshell本地的信息收集webshell本地的信息收集一般包括基本的信息IP地址当前shell所处网络环境、当前shell权限决定是否需要提权、系统版本判断是linux还是windows、系统进程判断是否安装杀软、EDR、安装的软件判断是否安装杀软、EDR。这里主要看下安装了哪些软件关注下用的什么杀软和EDR在后面做操作需要规避杀软和EDR。密码这个就很重要了这里就会想哪里有密码有哪些密码带着这些疑问就会去找对应的文件。这里大概就理一下数据库里面的密码、软件里面的密码、系统密码这个需要取dump浏览器记录密码。这里就会去找对应文件网站配置文件比如iis配置文件里面包含数据库账号密码有些网站源码里面也有账号密码要仔细看安装软件的配置文件例如VNC,mobaxtermkepass等等这里就要去分析安装了哪些软件需要仔细分析配置文件有些还需要解密浏览器的2.网络环境分析对网络环境的分析主要是对当前webshell所处的环境有大大概的了解针对不同的环境后续的操作都不一样先要有个大体的判断。一般内网有几种网络结构所处环境直接在核心区。这种情况最安逸所处区域为DMZ里面但是有部分机器可通核心区。所处区域为工作组可通DMZ部分区域、DMZ部分机器通核心区。基本上以上信息通过对域的信任域信进行信息收集可以大体判断出来当前是在核心区还是DMZ区域。3.域信息收集域信息收集很简单就几条windows自带命令域机器信息net group “domain computers” /domain域组信息net group /domain域用户信息net user /domain信任域信息nltest /domain_trusts域管理员信息: net group “domain admins” /domain域控信息 net group “domain controllers” /domain04 — 权限提升收集完一些信息过后基本上可以判断需不需要提权并不是所有的情况下都需要提权的毕竟提权过程容易受到杀软和EDR的照顾本人觉得以下情况可以暂时不考虑提权系统是windows情况下收集到的账号密码足够进行横向渗透可以暂时先不考虑提权。系统是linux情况下可以不用考虑。这里可以推荐看下这篇文章介绍了大部分的提权方式https://www.cnblogs.com/sfsec/p/15162635.html05 — 横向移动记住我们的最终目的还是找到域的管理权限到了这一步说明通过简单的信息收集并没有找到相应的权限。一般需要进行以下的操作了1.首先需要代理内网简称内网穿透内网穿透一般又分为正向代理和反向代理工具有很多就不介绍工具的使用了可以在下一篇介绍。正向代理工具Neo-reGeorg。反向代理工具frpsockes等等。2.有域账号密码但非管理员情况通过smb连接看域内其它机器开放的共享特别是域控和文件服务器的共享linux和windows都可以看命令不一样而且运气好的情况这里就能直接找到域管理员账号密码。特别注意的点在域控的共享下有个目录“\sysvol\域名”里面有一些bat脚本和xml文件。主要关注一下脚本文件、xml文件、txt文件配置文件总之一切可能存在密码的地方。始终不能忘了自己目的。3.有本地管理账号密码或者域账号有部分机器权限情况还是一个目的为了搞更多的账号密码。使用该密码爆破其它域内机器一般密码都一样登录其它机器取内存抓取密码总有一台有域管理员在。当然这其中会用到很多技术例如远程执行命令dump lsass等。4.以上啥都没有情况下最糟糕的情况这里想想啥都没有还能干啥只能把内网当外网再打一遍咯不过内网端口等会开很多打下来概率很大。这里当然又会用到很多工具fscan类似可以扫描端口又能扫描漏洞不过在防护较严的内网容易被发现。一般操作流程扫描内网端口扫描些常见的端口即可例如8044380803898443700170021433等。打内网网站通过端口扫描结果又像外网一样打一次。获取到另外一台机器权限后重复以上所有操作。没错就是这样。06 — 总结这篇文章字数较多能看到这个地方的给你点个赞都看到这个地方了点个关注呗。学习资料知识库由360智榜样学习中心独家打造出品旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力熟练掌握基础攻防到深度对抗。从零到精通完整闭环基础攻防→渗透测试→应急响应→CTF实战5大模块200课时比大学教材更贴近企业实战”涵盖渗透测试案例分析与实战技巧直接对应面试真题包含CTF竞赛基础与HW行动攻防对抗实录丰富你的简历项目经验深入十大安全漏洞与利用技巧掌握这些高阶技能实战SRC挖洞赚钱。实战教学专属靶场掌握这些高阶技能谈薪更有底气。无论你是找渗透测试岗还是安全服务岗这些项目都是加分项。扫描下方图片补齐实战短板拿下心仪Offer