65:内⽹安全-域环境⼯作组局域⽹探针⽅案——域信息收集就是要获取域⾥的⽤户都有哪些!多数。。。
思维导图
⼀基本认知
DMZ:
英⽂全名“Demilitarized Zone”,中⽂含义是“隔离区”,在安全领域的具体含义是“内外⽹防⽕墙之间的区域”。DMZ区是⼀个缓冲区,在DMZ区存放着⼀些公共服务器,⽐如论坛等。
⼯作组 VS 域环境
⼯作组:地位平等,管理分散,没有集中管理。
域环境:地位不平等,管理集中,实现集中管理。
域环境也可以简单的理解为⼯作组的升级版,更好管理。
这⾥我们把域环境和⼯作组区分开来是因为他们的攻击⼿段不同,⼯作组中的攻击⼿法如DNS劫持、ARP
欺骗在域环境下是没有作⽤的。有⼀些攻击⼿段需要⼀些条件,这些条件在域环境下没有,相应的攻击⼿段就会失效。
域控制器DC:
域控DC是这个域中的管理者,域⾥⾯的最⾼权限,判断是否拿下整个域,就是看你是否拿下这台域控制器。
AD(活动⽬录):
是微软所提供的⽬录服务(查询,⾝份验证),活动⽬录的核⼼包含了活动⽬录数据库,在活动⽬录数据库中包含了域中所有的对象(⽤户,计算机,组…),活动⽬录(Active Directory)是⾯向Windows Standard Server、Windows Enterprise Server 以及Windows Datacenter Server的⽬录服务。Active Directory储存了有关⽹络对象的信息,并且让管理员和⽤户能够轻松的查和使⽤这些信息,Active Directory使⽤了⼀种结构化的数据储存⽅式,并以此作为基础对⽬录信息进⾏合乎逻辑的分层组织。
linux域渗透问题:
Q:AD域控制器只在windows server系统能做吗?Linux可以?
A:linux上也有相应的活动⽬录的,不过要装LDAP环境,⼀般企很少会⽤LDAP来管理的,因为功能上不及域强⼤,⽽且⽤linux来管理的话要求技术⼈员门槛也⽐较⾼,个⼈认为Linux还是⽐较适合做服务器好⼀点。(就是说Linux上⾯的域环境需要环境⽀撑,⽽且功能没有windows上的域强⼤,所以⼤部分我们遇见的都是windows,这也是没有Linux的原因。当然,Linux这个操作系统也是可以加⼊域的,⽐如域内有Linux的操作系统,有Linux的服务器也⾏,只是很少)
局域⽹技术适⽤问题:
不同的攻击技术⼿段适⽤⾯不同,这个我们要有所了解,⽐如arp欺骗适⽤于局域⽹,⽽不适⽤于域。
⼤概内⽹安全流程问题:
熟悉基础概念-信息收集-后续探针-权限提升-横向渗透-权限维持
⼆案例演⽰
本课重点
案例1:基本信息收集操作演⽰
案例2:⽹络信息收集操作演⽰
案例3:⽤户信息收集操作演⽰
案例4:凭据信息收集操作演⽰
案例5:探针主机域控架构服务操作演⽰
环境介绍
下图属于单域环境,Windows2008R2作为域控DC,有五个域成员主机,fileserver⽂件服务器、SqlServer数据库服务器、webserver⽹站服务器和两台个⼈PC。他们都是在192.168.3.0这个⽹段,⽹站服务器有两个⽹卡,⼀个在3.31⼀个在230.131,这个230.133就好⽐是它的⼀个对外出⼝(外⽹接⼝),kali攻击机就好⽐攻击者,它通过230.131这个接⼝进⼊⽹站服务器计算机,由于这台计算机是处于内⽹连接,所有它享有3这个⽹段的访问权限。拿下⽹站服务器后的⾸要攻击⽬标就是DC!只要拿下DC,也就相当于同时拿下了所有域成员主机权限。
案例1:基本信息收集操作演⽰
旨在了解当前服务器的计算机基本信息,为后续判断服务器⾓⾊,⽹络环境等做准备。
服务器⾓⾊就是这台服务器是⼲嘛的,它在内⽹中扮演什么⾓⾊,⽐如mary-pc就是个⼈办公电脑,Sql
Server就是数据库服务器,每台服务器都是有⼀个⾓⾊的,是仅仅个⼈⽤,还是⽤来⽂件传输?⽤来dns解析?
假设已经拿下了⼀台内⽹服务器webserver:
1 2 3 4systeminfo 详细信息(操作系统版本、补丁编号等信息)
net start 启动服务(查看当前主机开启了哪些服务,从服务中就可以判断它是什么⾓⾊)tasklist 进程列表(查看当前主机开启了哪些进程)
schtasks 计划任务(若报错⽆法加载列资源,说明你的权限不够,因此要提权才能使⽤该命令)
案例2:⽹络信息收集操作演⽰
旨在了解当前服务器的⽹络接⼝信息,为判断当前⾓⾊,功能,⽹络架构做准备
1 2 3 4 5ipconfig /all判断存在域-最简单⽅式查看主DNS后缀
net view /domain判断存在域
net time/domain判断主域(主域就是域控的意思)【在域环境下查看当前时间】nslookup<;域控制器
全名> 追踪来源地址
netstat-ano 当前⽹络端⼝开放
<1>ipconfig /all 查看主DNS后缀,这就是当前最简单最直接判断当前服务器是域环境还是单纯的⼯作组局域⽹环境!有域的话会有主DNS,因为在域环境⾥⾯通常会由DNS解析服务器。这是第⼀个判断标准。
<2>net view /domain 判断存在域
<3>net time /domain 判断主域(主域就是域控的意思)【在域环境下查看当前时间】
net time /domain  可以判断主域,是因为域成员计算机的时间⼀般会以域控制器为准,所以当执⾏net time /domain命令时,该计算机会去域控获取时间,此时返回的就是域控的计算机全名。然后可以通过nslookup来最终确认域控IP。
每⼀台计算机名字都是基于域名下⾯⽣成的(如),另外,如果到了、、
d.org之类的计算机全名,说明当前环境存在多域,是⽗域,d.org是⼦域。
powershell怎么以管理员身份运行
<4>nslookup <;域控制器全名>  追踪来源地址
<5>netstat -ano 查看当前⽹络端⼝开放
案例3:⽤户信息收集操作演⽰
旨在了解当前计算机或域环境下的⽤户及⽤户组信息,便于后期利⽤凭据进⾏测试
系统默认常见⽤户⾝份:
1 2 3 4 5 6 7 8 9Domain Admains:域管理员(默认对域控制器有完全控制权)Domain Computers:域内机器
Domain Controllers:域控制器
Domain Guest:域访客,权限低
Domain users:域⽤户
Enterprise Admains:企业系统管理员⽤户(默认对域控有完整控制权)
我们主要攻击Domain Admains和Enterprise Admains
⼤部分成员主机在Domain users域⽤户⾥
相关⽤户收集操作命令:
1 2 3 4 5 6 7 8 9 10whoami/all⽤户权限
net config workstation 登录信息
net user 当前电脑⾥⾯的⽤户(本地⽤户)
net localgroup 本地⽤户组
net user /domain当前域⾥⾯的⽤户
net group /domain获取域⽤户组信息
wmic useraccount get /all涉及域⽤户详细信息
net group "Domain Admins"/domain查询域管理员账户net group "Enterprise Admins"/domain查询管理员⽤户组net group "Domain Controllers"/domain查询域控制器
收集⽤户信息的作⽤:==》域信息收集就是要获取域⾥的⽤户都有哪些!
先到域⽤户名,为后续进⾏密码账号的攻击做准备,后续攻击是可以⽤这些真实的⽤户名套⽤密码字典进⾏暴⼒破解,⼀旦到对应的密码就可以登录计算机进⾏后续操作。看看⽤户名在哪个组,我就有什么权限。
<1>net user 获取当前电脑⾥⾯的⽤户(本地⽤户),对于本地⽤户,当前计算机可通过⽤户名密码登录。
net user /domain 获取当前域⾥⾯的⽤户(关键),对于域⽤户,当前计算机是否可登录,受活动⽬录限制,若权限不够,是不能登录的。
<2>net localgroup 本地⽤户组
<3>net group /domain 获取域⽤户组信息
<4>wmic useraccount get /all 涉及域⽤户详细信息
<5>net group "Domain Admins" /domain 查询域管理员账户
<6>net group "Domain users" /domain 查询域⽤户
案例4:凭据信息收集操作演⽰(⾮常重要)
旨在收集各种密⽂,明⽂,⼝令等,为后续横向渗透做好测试准备
1
2 3 4 5 6 7 8 9 10 11 12 13计算机⽤户HASH,明⽂获取  -mimikatz(win),mimipenguin(linux)
计算机各种协议服务⼝令获取  -LaZagne(all,win&linux),XenArmor(win)Netsh WLAN show profiles  //查询所有连接过的wifi名称
Netsh WLAN show profile name ="⽆线名称"key =clear//查询某wifi密码
获取凭据的⽅法:
1.站点源码备份⽂件,数据库备份⽂件等
2.各类数据库WEB管理⼊⼝,如PHPmyadmin
3.浏览器保存密码,浏览器cookies
4.其他⽤户会话,3389和ipc$连接记录,回收站内容
5.windows 保存的WIFI密码
6.⽹络内部的各种账号和密码,如:Email,VPN,FTP,OA等
⼈能够记住的密码有限,所以⼀般⽤户习惯给很多⽹站、服务等设置相同的或者类似的密码,所以当你到了⼀个密码,其他密码很有可能被猜解到。
1、获取计算机⽤户名密码 mimikatz & mimipenguin
mimikatz下载:github/gentilkiwi/mimikatz/releases
mimipenguin下载:github/huntergregal/mimipenguin/releases/
新版mimikatz貌似运⾏有问题,下⾯是旧版运⾏结果,获取到了明⽂密码(新版的确有bug)。注意:mimikatz运⾏需要域管理员权限,域⽤户⽆法运⾏,因为权限不够。(gg)
mimikatz is a tool I've made to learn C and make somes experiments with Windows security.It's now w
ell known to extract plaintexts passwords, hash, PIN code and kerberos tickets from memory. mimikatz can also perform pass-the-hash, pass-the-ticket or build Golden tickets.
同样,mimipenguin运⾏需要root权限,普通⽤户⽆法运⾏。
2、获取计算机各种协议服务⼝令 LaZagne(all,win&linux) & XenArmor(win)
LaZagne
优点:免费;⾃动化脚本;⽀持win&linux
缺点:很多密码都获取不到,不好⽤
下载:github/AlessandroZ/LaZagne
XenArmor ==》看起来还是很强⼤啊
国外软件,价格40-50美元,⽹上可能有破解版,不过是⽼版
这两个软件主要是通过⾃动化翻以下内容,从⽽获取凭据。
1.站点源码备份⽂件,数据库备份⽂件等
2.各类数据库WEB管理⼊⼝,如PHPmyadmin
3.浏览器保存密码,浏览器cookies
4.其他⽤户会话,3389和ipc$连接记录,回收站内容
5.windows 保存的WIFI密码
6.⽹络内部的各种账号和密码,如:Email,VPN,FTP,OA等案例5-探针主机域控架构服务操作演⽰
为后续横向思路做准备,针对应⽤,协议等各类攻击⼿法
1 2 3 4 5 6 7 8 91、探针域控制器名及地址信息
net time/domain
nslookup<;域控名称>
ping<;域控名称>
2、探针域内存活主机及地址信息
nbtscan 192.168.3.0/24第三⽅⼯具(⽼牌⼯具,说实在没必要⽤这个⼯具,不强⼤!不免杀!)for/L%I in(1,1,254) DO @ping-w 1 -n 1 192.168.3.%I | findstr "TTL ="⾃带内部命令(推荐使⽤)其他:nmap,masscan,第三⽅Powershell脚本nishang、empire等(个⼈喜欢NiShang)
NiShang简介:==》注意,这玩意要powershell管理员才可以运⾏,所以提权就显得⾮常关键了
Powershell⽤于渗透测试其实早在多年前就已经被提出了。利⽤Powershell,攻击者可以在⽆需接触磁盘的情况下执⾏命令等,并且相较已经被⼤家⼴泛关注并防御的Cmd⽽⾔,Powershell并⾮那么的引⼈瞩⽬。Nishang是基于PowerShell的渗透测试专⽤⼯具。它集成了框架、脚本和各种payload,能够帮助渗透测试⼈员在对Windows⽬标的全过程检测中使⽤,是⼀款来源于作者实战经历的智慧结晶。(类似于MSF)
1 2 3 4 5 6 7 8 9<1>下载NiShang:github/samratashok/nishang
<2>进⼊⽬录,执⾏以下命令
Import-Module .\nishang.psml        导⼊模块nishang
set-ExecutionPolicy RemoteSigned    设置执⾏策略
Get-Command -Module nishang    获取模块nishang的命令函数(有很多命令函数分别执⾏不同功能,⽐如以下命令)
Get-information            获取常规计算机信息
Invoke-Mimikatz            获取计算机⽤户名密码
Invoke-Portscan -startaddress 192.168.3.0 -Endaddress 192.168.3.100 -ResolveHost -ScanPort  端⼝扫描(查看⽬录对应⽂件有演⽰语法,其他同理)其他功能:删除补丁,反弹shell,凭据获取等
探针域内主机⾓⾊及服务信息
利⽤开放端⼝服务及计算机名判断
核⼼业务机器:
1.⾼级管理⼈员,系统管理员,财务/⼈事、业务⼈员的个⼈计算机
2.产品管理系统服务器
3.办公系统服务器
4.财务应⽤系统服务器
5.核⼼产品源码服务器
6.数据库服务器
7.⽂件或者⽹盘服务器
8.电⼦邮件服务器
9.⽹络监控系统服务器
10.其他服务器(内部技术⽂档服务器,其他监控服务器)
其他涉及资源:
nagareshwar.securityxploded/download-softwares/
xenarmor/allinone-password-recovery-pro-software/
红队实战演练环境:pan.baidu/s/14eVDglqba1aRXi9BGcBbug 提取码: taqu

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。