wgpsec/internal-recon

内网信息收集方法论

内网侦察和外网侦察的区别：内网通常没有 CDN/WAF 保护，但你的操作空间受限于当前立足点的网络位置。核心目标是快速绘制内网地图——有哪些主机、什么服务、哪些是高价值目标。

⛔ 深入参考（必读）

• 存活探测命令、端口→服务→价值映射表、域控/数据库定位 → references/network-mapping.md
• fscan 详细用法（弱口令爆破、POC 检测、代理扫描）→ 加载 fscan-scan 技能
• 工具投递方法（怎么把后渗透 需要的工具 传到目标上、为什么要在目标上执行而非本地）→ 加载 tool-delivery 技能

Phase 1: 当前位置分析

# Linux
ip addr && ip route && cat /etc/resolv.conf && arp -a && cat /etc/hosts
# Windows
ipconfig /all && route print && arp -a && net view /domain

关键判断：多网卡=跳板 | DNS→内网IP=域环境 | ARP表大=活跃网段

Phase 2: 存活主机发现（fscan 优先）

# fscan 一把梭（存活+端口+服务+弱口令+漏洞，速度远超 nmap）
fscan -h 10.0.0.0/24 -nopoc          # 快速存活+端口
fscan -h 10.0.0.0/24                  # 全量（含 POC 检测+弱口令）

# nmap 补充（fscan 不可用时降级）
nmap -sn 10.0.0.0/24                  # ICMP ping
nmap -PR -sn 10.0.0.0/24             # ARP（同网段最可靠）

Phase 3: 端口扫描（聚焦关键端口）

# fscan 指定端口（推荐，速度快且自动识别服务）
fscan -h TARGETS -p 22,80,135,139,443,445,1433,3306,3389,5432,5985,6379,8080,9200

# nmap 深度识别（需要服务版本/NSE 脚本时用）
nmap -sT -sV -p 22,80,445,3389 TARGETS

高价值端口：88(域控) | 445(SMB) | 3389(RDP) | 1433(MSSQL) | 6379(Redis)

→ 完整端口→服务→价值映射表 → references/network-mapping.md

Phase 4: 关键基础设施定位

• 域控：88+389+445 = 确认域控 | DNS IP 通常就是域控
• 数据库：用收集到的凭据尝试连接
• 管理系统：httpx -tech-detect / curl -sI 发现 Jenkins/GitLab/Zabbix

Phase 5: 输出内网地图

网络拓扑 + 高价值目标清单（域控→数据库→管理系统→跳板机）+ 优先攻击路径

注意事项

• 优先被动发现（ARP/路由表），再主动扫描
• 分批扫描，避免扫 /16 导致网络问题

被动发现技术

• NBNS / LLMNR 广播监听：NetBIOS 名称服务可被动获取主机名
• tcpdump 抓包、监听、嗅探网络流量
• 端口 3268 — Active Directory Global Catalog（全局编录）

多网卡 Pivot

• 发现双网卡主机（两个网段），可作为跨网段的 pivot 跳板
• 通过此机器设置代理/转发，访问新网段
• 新攻击面：扩大范围，深入内网