拿下一台主机后该干嘛？超详细内网与域信息收集指北

欢迎来到网络安全的内网世界！如果你刚刚拿到一个内网的初始立足点（比如通过钓鱼或漏洞利用拿下一台普通员工电脑），却发现面对漆黑的命令行窗口无从下手，那么这篇文章就是为你量身定制的。

在内网渗透（或合法的红队评估）中，信息收集的重要性占到了整个过程的70%以上。这就好比你要去打一场篮球赛，如果不先了解对手的身高、习惯和战术，甚至连篮筐在哪都不知道，盲目冲锋只会让你迅速被“盖帽”出局。

今天，我们将化身为一名“内网侦探”，用最通俗的语言，一步步拆解在内网和域环境中，该如何把信息收集玩转。

第一阶段：内网初探 —— “我是谁？我在哪？”

刚拿下一台机器，千万不要急着跑提权脚本或使用大杀器，第一步必须是环境摸底。你需要搞清楚这台机器的“身份信息”和“周边环境”。

1. 摸清自身身份（Who am I?）

whoami /all

👉大白话翻译：这个命令能列出你当前拿到的用户账号、所属的用户组（比如是否在管理员组），以及分配的安全令牌（Privileges）。如果你的账号带有SeDebugPrivilege（调试权限）或者SeImpersonatePrivilege（模拟客户端权限），那么恭喜你，这台机器大概率可以直接提权到 SYSTEM 最高权限。

2. 查看网络配置（Where am I?）

ipconfig /all

👉大白话翻译：这是最基本的操作，但它能告诉你三个极其重要的情报：

• IP地址与网段：你知道了自己身处哪个“小区”（例如192.168.10.x）。

• 网关与DNS：通常网关就是网络的出口，而DNS服务器极有可能是域环境中的域控（DC）。

• 域名（DNS Suffix）：如果看到了类似corp.company.com的字眼，说明你已经进入了企业的 Windows 域环境，真正的宝藏就在这里。

3. 盘点进程与软件（What's running?）

tasklist /svc net start

👉大白话翻译：看看这台机器上跑了哪些关键业务软件、数据库（如 Oracle、MSSQL）或者杀毒软件（AV）。如果发现了某款知名的杀毒软件，你后续上传的任何黑客工具都会被立刻绞杀，这就提醒你必须先进行“免杀”处理。

第二阶段：网络测绘 —— “绘制内网藏宝图”

知道了自己在哪，接下来就要看看同一个网段里还有哪些“邻居”。我们把这个过程称为内网扫描。

1. 最快存活探测：ARP 扫描

在内网中，如果你想探测同一个网段（比如/24）里有哪些机器是开着的，ARP 扫描是最快且最不容易被防火墙拦截的方法。

• 工具推荐：arp-scan或 PowerShell 脚本。

• 原理解析：就像你在楼道里大喊一声“有人吗？”，收到回声的就会告诉你它的 MAC 地址和 IP 地址。

2. 端口扫描：寻找“服务入口”

探测到存活主机后，我们需要对它进行端口扫描，看看它开放了哪些服务。

nmap -sT -sV -p 1-1000 192.168.10.0/24

👉参数与大白话解释：

• -sT：TCP 全连接扫描，稳定可靠，不易漏报。

• -sV：探测端口上运行的软件版本（比如发现 IIS 8.5 或 OpenSSH 7.4）。

• -p 1-1000：日常内网中，前1000个端口已经足够覆盖绝大多数常见服务（如 80 Web服务、443 HTTPS、22 SSH、3389 远程桌面 RDP）。

💡内网重点关照端口：

• 445 (SMB)：Windows 文件共享服务，经常爆出远程代码执行漏洞（如著名的 MS17-010 永恒之蓝）。

• 3389 (RDP)：远程桌面，如果发现管理员不小心配置了“空密码”或者弱密码，你可以直接远程登录进去。

• 5985/5986 (WinRM)：Windows 远程管理接口，横向移动的神器。

第三阶段：域情侦察 —— “直捣黄龙”

如果你在前面的步骤中确认了目标处于 Windows 域（Active Directory）环境中，那么接下来的信息收集将决定你能否拿到域管的权限。

1. 定位域控制器（DC）

域控是整个域的大脑，所有的账号密码验证都要经过它。

nltest /dclist:corp.company.com

👉大白话翻译：这条命令会直接向 DNS 发起查询，列出指定域中的所有域控制器。拿到域控的 IP 后，你就可以针对性地寻找 Zerologon、PetitPotam 等域控专属漏洞了。

2. 枚举域用户与主机

# 查询域内的所有用户 net user /domain # 查询域内的所有计算机（工作站和服务器） net computer /domain

👉实战意义：通过枚举用户，你可以整理出一份“员工名单”。拿着这份名单，你可以去尝试密码喷洒（Password Spraying）攻击（即用几个常用密码去试遍所有账号，以避免触发账户锁定策略）。

3. 高级侦察：LDAP 查询与 BloodHound

如果你觉得敲命令太麻烦，可以使用 LDAP（轻量目录访问协议）查询工具（如AdFind）或者自动化分析神器BloodHound。

• BloodHound：它能将复杂的域关系（谁属于哪个组，谁拥有哪些权限）转化为直观的图表。你只需要导入采集到的数据，它就能自动为你计算出从“当前普通用户”到“域管理员”的最短攻击路径。这就像是打开了游戏的“导航系统”，直接告诉你怎么走最快！

🔥 实战演练：从零构建攻击面

为了让你有更直观的感受，我们来看看一个典型的攻击面是如何通过信息收集构建起来的：

背景：你通过一封伪装成“工资单”的钓鱼邮件，拿到了员工John的主机权限（IP: 192.168.20.55），该主机加入了域bigbear.com。

1. 摸底：运行ipconfig /all，发现 DNS 服务器指向192.168.20.10，初步怀疑这就是域控。

2. 确证：运行nltest /dclist:bigbear.com，确认192.168.20.10确实是域控DC01。

3. 扫描：对内网进行 SMB 扫描，发现192.168.20.88这台服务器的 445 端口开着，且版本较老。

4. 漏洞利用：针对192.168.20.88使用 MS17-010 攻击，成功拿下该服务器权限。

5. 抓取密码：在服务器上提取内存中的票据，发现里面有来自域管理员Administrator的凭证！

6. 横移域控：利用管理员的凭证，通过 WinRM 或 SMB 直接登录域控192.168.20.10，至此，整个域沦陷。

看到了吗？每一步的信息收集，都在为下一步的攻击铺平道路。

结语：知识就是力量

内网信息收集不仅是一项技术活，更是一场心理战。它考验的是你的耐心、逻辑推理能力以及对系统底层的理解。对于企业来说，完善的日志监控、合理的账户权限分配以及及时的补丁更新，是防范此类信息收集的最佳防线。

💬 互动环节：

你在内网信息收集中，最喜欢用的“神器”是哪一款？是瑞士军刀nmap，还是域环境杀器BloodHound？又或者遇到过什么难忘的“大乌龙”？欢迎在评论区留言分享，我们一起交流进步！

⚠️【特别警示与安全声明】

本文所述的所有技术与工具仅供合法的网络安全学习、研究及企业授权的红队评估（渗透测试）使用。未经授权对任何计算机系统进行信息收集或攻击测试均属于违法行为。请务必在合法合规的框架下探索网络安全技术，因滥用本文所述技术而造成的任何法律后果，由使用者自行承担。