0x01 原理简述
宏观类比:内网信息收集如同开启战争中的雷达。
当你获取跳板机权限并打通隧道后,面对未知的内网拓扑,核心目的是在不触发防御系统(NDR/XDR)大面积告警的前提下,完成三项任务:
明确当前网络拓扑结构
定位高价值资产(域控制器 DC 的 IP)
获取域内用户与权限配置图谱。
技术定义:利用系统原生网络协议(NetBIOS、LDAP、RPC)或编译型扫描器(Nmap、Fscan),对跳板机所在内网的存活主机、开放端口、服务指纹及域环境架构进行主动或被动的枚举探测。
0x02 探测阶段核心工具准备与使用
在断网比赛前,必须于攻击机(Ubuntu)本地提前储备好跨网段扫描与自动化探测武器。
精准端口扫描器:Nmap
通过 APT 源直接安装,配合第一阶段的 Proxychains 隧道,用于对特定内网 IP 进行深度的端口与服务版本探测。
获取与准备:
1 | sudo apt update |
基础使用语法 (隧道内强扫):
1 | proxychains4 nmap -sT -Pn -p <目标端口列表> <目标内网IP或网段> |
自动化内网扫描器:Fscan (双端二进制文件)
采用 Go 语言编写的单文件并发扫描器,集存活探测、端口扫描、弱口令爆破与高危漏洞(MS17-010)检测于一体。分为 Windows 版(传给跳板机本地执行)和 Linux 版(攻击机挂代理执行)。
获取与准备:
1 | mkdir -p ~/ISW_Workspace/Tools/Lateral/Fscan && cd ~/ISW_Workspace/Tools/Lateral/Fscan |
基础使用语法 (跳板机端):
1 | # 在跳板机 CMD 中直接扫描目标内网网段 |
0x03 实战一:域控定位与基础枚举
当跳板机处于域环境时,优先使用系统内置命令进行枚举,隐蔽性极高且无外部文件落地。
定位域控制器 (DC) IP
精准查找内网总控机器坐标。任选以下命令在跳板机执行:
命令 A:DNS SRV 记录查询(最准确实战方案)
1 | nslookup -type=SRV _ldap._tcp.dc._msdcs.<目标域名> |
- 解析:直接向内网 DNS 服务器请求查询域控专属的 LDAP 服务注册记录,回显中包含域控主机名及物理 IP。
命令 B:时间服务器同步查询
1 | net time /domain |
- 解析:域内机器默认向域控同步时间。提取回显中的主机名(如
\\DC01)并 Ping 之即可获取 IP。
域内用户与权限架构枚举
获取目标攻击列表,为后续密码喷洒 (Password Spraying) 或哈希传递 (PtH) 准备账号字典。
1 | # 获取全域用户列表 |
0x04 实战二:自动化内网扫描武器 (Fscan执行)
当原生命令无法覆盖跨网段探测,或跳板机处于工作组环境中时,使用 Fscan 进行主动探测。
1. 常规网段发现扫描 (B段/C段)
1 | C:\Windows\Temp\fscan64.exe -h <目标内网网段> |
- 解析:执行 ICMP 存活探测 -> 端口扫描 -> Web Title 获取 -> 基础指纹识别 -> 弱口令爆破。
2. 规避扫描 (禁止暴力破解,防溯源告警)
1 | C:\Windows\Temp\fscan64.exe -h <目标内网网段> -nobr |
- 解析:
-nobr代表 No Brute-force。仅做漏洞和端口探测,不进行 SSH/SMB 密码撞库,大幅降低触发防守方 IDS/IPS 告警的概率。
3. 精准协议探测 (针对横向移动阶段)
1 | C:\Windows\Temp\fscan64.exe -h <目标内网网段> -m smb |
- 解析:强制指定仅扫描 445 端口及 SMB 协议缺陷(如 MS17-010 永恒之蓝)。速度极快,适用于快速寻找横向移动跳板。
0x05 实战三:高价值目标精准深度探测 (Nmap)
适用场景:通过前两步,你已经锁定了确切的目标 IP(比如用 nslookup 找出的域控 192.168.10.10,或者用 Fscan 扫出来的开了 80 端口的 192.168.10.20)。
核心目的:Fscan 的探测是走马观花,Nmap 则是用进一步细致的探查。
你需要精确知道目标开了哪些非常规端口,以及对应服务的确切版本号(便于在 Exploit-DB 搜对应的 EXP)。
在你的 Ubuntu 攻击机上,通过建立好的隧道强制发起 TCP 全连接扫描。
1. 目标核心端口强扫
1 | proxychains4 nmap -sT -Pn -p <目标端口列表> <目标内网IP> |
2. 服务指纹深度探测 (极其重要)
当你发现目标开放了某些端口,但不确定具体版本时:
1 | proxychains4 nmap -sT -Pn -sV -p <具体端口> <目标内网IP> |
解析:-sV 参数会进行服务枚举,精准返回例如 Apache httpd 2.4.49 这样带有版本号的信息,直接拿着版本号去搜 RCE 漏洞。
0x06 赛场异常处置规范
隧道扫描底层限制
当在攻击机(Ubuntu)上使用 Proxychains4 + Nmap 穿透 SOCKS5 代理扫描内网时,极其容易出现扫描卡死或全盘误报。必须严格遵守以下底层协议限制:
问题一:SOCKS5 不支持 ICMP 协议
痛点:代理无法转发 Ping 数据包。Nmap 默认在扫描前会发 Ping,收不到回应就会直接判定主机离线并跳过扫描。
规范应对:必须添加
-Pn参数。强制 Nmap 禁用主机存活发现,直接将<目标内网IP>视作在线并硬扫端口。
问题二:SOCKS5 严禁 TCP SYN 半连接扫描
痛点:Nmap 在 Root 权限下的默认行为是
-sS(SYN 半连接扫描)。但半连接属于底层网卡伪造行为,SOCKS5 代理只接受符合操作系统规范的完整 TCP 连接流,导致发包彻底失败。规范应对:必须添加
-sT参数。强制 Nmap 采用老实本分的 TCP 全连接(三次握手)进行探测,确保代理能够完美转发。
问题三:UDP 协议转发不稳定
痛点:绝大多数代理隧道对无状态的 UDP 协议支持极差,会导致极高的丢包率和连接假死。
规范应对:在代理环境下,严格禁止使用大范围的
-sU参数扫内网。
0x07 本阶段结果 (Checklist)
执行完本笔记操作后,你应该获取以下重要信息,再进入下一步:
目标域名称 (如
ISW.local)域控制器 (DC) 的绝对 IP (如
192.168.10.10)域管理员账号名列表 (如
Administrator,IT_Admin)内网其他存活主机的 IP 及开放高危端口 (80, 445, 1433, 3389)
- 本文链接: http://example.com/2026/03/21/ISW/内网渗透与横向移动/内网横向2_内网信息收集与定位/
- 版权声明: 本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!
欢迎关注我的其它发布渠道