💡导读:拿到一台 Web 服务器权限,只是拿到了进入城堡的门票。真正的宝藏——财务系统、OA审批、核心数据库——都藏在层层防御的内网深处。本期将为你绘制一张内网藏宝图,让你明白黑客眼中的企业网络到底是什么样子。
一、 什么是内网?(黑客视角)
在渗透测试工程师眼里,企业的网络不是扁平的,而是分层的。
1. DMZ(非军事化区)
位置:互联网的最前沿。
资产:Web 服务器、邮件网关、VPN 入口。
特点:通常能通外网,但不能直接访问内网核心区。
你的位置:你现在在这里(拿到了 Web 权限)。
2. 办公网(Office Network)
位置:DMZ 之后。
资产:员工 PC、文件服务器、Gitlab、Jira。
特点:安全意识相对薄弱,容易通过弱口令或钓鱼拿下。
3. 核心区(Core Zone / DC)
位置:最深处的保险柜。
资产:域控制器(Domain Controller)、核心数据库(DB)、支付网关。
特点:防护最严,通常禁止出网,只有特定端口互通。
二、 看懂网络拓扑:一张图胜过千言万语
为了让你理解攻击路径,我们来看一个典型的中小企业内网拓扑及其攻击流:
[ 互联网 Internet ] | | (80/443) V [ 防火墙 Firewall ] | | (172.16.1.10) V [ Web 服务器 (CentOS) ] <-- 你在这里 (Jump Host) | | (内网互通 192.168.10.0/24) V [ 办公网 PC (Win10) ] ---> [ 文件服务器 ] | | (域信任 192.168.20.0/24) V [ 域控 (DC01) ] <-- 最终目标 (Golden Ticket)攻击逻辑推演:
立足:通过 Web 漏洞拿下
Web 服务器。嗅探:在 Web 服务器上执行
arp -a,发现192.168.10.5是办公网的一台 PC。横向:利用 Web 服务器上窃取的密码,尝试登录
192.168.10.5。集权:在办公网 PC 上抓取域用户 Hash,利用Pass The Hash 攻击域控。
三、 核心概念:域(Domain)与工作组
这是 Windows 内网渗透的基础。
特性 | 工作组 (Workgroup) | 域 (Domain) |
|---|---|---|
管理模型 | 分散管理(每台机器自己管自己) | 集中管理(DC 说了算) |
身份验证 | 本地账户(SAM 库) | 域账户(AD 数据库 NTDS.dit) |
渗透目标 | 每台机器单独打 | 拿下域控 = 拿下整个内网 |
实战判断:
当你拿到一台 Windows 机器,执行:
cmd
net config workstation如果显示工作站域 xxx.com,恭喜你,这是域环境,你的下一个目标就是xxx.com 的域控。
四、 实战演练:内网信息收集(Linux 版)
假设你现在已经在 Web 服务器上有了 Shell。
1. 我是谁?我在哪?
whoami # 当前用户 hostname # 主机名 uname -a # 内核版本(提权依据) ifconfig / ip a # 网卡信息(找内网段)2. 找邻居(扫描内网)
不要用nmap大流量扫描(容易被发现),用ARP 扫描 更隐蔽。
# 查看 ARP 缓存(已经通信过的机器) arp -a # 使用 Bash 脚本快速探测存活主机(轻量级) for i in {1..254}; do ping -c 1 192.168.1.$i | grep "bytes from"; done3. 找密码
# 查找配置文件 find / -name "config*.php" -o -name "*.conf" 2>/dev/null # 查找数据库密码 grep -r "password" /var/www/html五、 2026 年趋势:云环境与容器化
现代企业的内网不再局限于物理机房。
云内网(Cloud VPC):
目标可能是 AWS EC2 或 阿里云 ECS。
元数据(Metadata)攻击:
curl http://169.254.169.254/latest/meta-data/可能泄露 IAM 角色凭证,从而接管整个云账号。
容器(Docker/K8s):
如果你在容器里,目标是Docker Escape(容器逃逸)。
检查是否在容器中:
ls /.dockerenv。
⚠️ 安全警示与法律红线
🚨 后渗透是法律的高压线:
严禁横向移动:在 SRC 或常规渗透测试中,绝对禁止从 Web 服务器攻击内网其他机器。这是红线中的红线。
严禁触碰核心数据:即使在内网,也严禁查看、下载、修改数据库中的真实业务数据(如用户银行卡信息、交易记录)。
靶场练习:请在HTB (Hack The Box)、VulnHub 或CyberSec Labs 等合法靶场中练习本期内网拓扑分析。
内网渗透是一把屠龙刀。你可以拥有它,但挥舞它之前,必须确认脚下是合法的猎场。
💬 互动环节
你们公司的内网是按照这种三层架构设计的吗?
在云原生时代,你觉得传统的内网渗透技术还适用吗?
欢迎在评论区留言讨论!
👉 下一期预告:【后渗透-Linux篇】Linux 提权与逃逸 —— 如何从www-data逆袭为root?