内网渗透之内网基础知识(一)

工作组

工作组:工作组是局域网中的一个概念，他是长久的资源管理模式。默认情况下使用工作组方式进行资源管理，将不同的 computer 按照不同的要求分类到不同的组

域:用来描述一种架构，和“工作组”相对应，由工作组升级而来的高级架构，域 (Domain)是一个有安全边界的计算机集合（安全边界，意思是在两个域中，一个域中的用户无法访问另一个域中的资源）。可以简单的把域理解成升级版的“工作组”，相比工作组而言，它有一个更加严格的安全管理控制机制，如果你想访问域内的资源，就必须拥有一个合法的身份登陆到该域中,而你对该域内的资源拥有什么样的权限,还需要取决于你在该域中的用户身份。

域的几种环境 •

单域通常一个小公司，一般一个域就可以，一个域内，要至少两台域服务器，一台作为域控制器，另一台当备份。活动目录的数据库【包括用户的账号信息】是存储在域控制器中，若没备份，瘫痪了不能正常使用了！

父域和子域出于管理及其他需求，需要在网络中划分多个域。第一个域称为父域，其他为子域

域名服务器 DNS

是指用于实现域名和与之相对应的 IP 地址转换的服务器。从对域树的介绍中来看出，域树中的域名和 DNS 域名非常相似。而实际上，因为域名的计算机是使用 DNS 来定位域控制器、服务器及其他计算机、网络服务的，所以域的名字就是 DNS 域的名字。在内网渗透测试中，大都是通过寻找 DNS 服务器来确定域控制器的位置的{DNS 服务器和域控制器通常配置在同一台机器上}

域术语

DC:域控，域的创建者域管理:域控上的管理员 AD 活得目录:Active Directory NTDS.dit:域用户帐户以域数据库的形式保存在活动目录中 Ntdsutil.exe-ntdsutil.exe 是域控制器自带的域数据库管理工具，从 windows Server 2008 开始就默认自带了。因此我们可以通过 ntdsutil.exe 提取出域中所有的域用户信息常见结构:组织单元(OU)、域(DOMAIN)、域树(tree)、域森林(forest)，在域树内的所有域共享一个活动目录，这个活动目录内的数据分散地存储在各个域内，且每一个域只存储该域内的数据

活动目录:

* 帐号集中管理：所有帐号均存在服务器上，方便对帐号的重命名/重置密码。

* 软件集中管理：统一推送软件，统一安装网络打印机等。利用软件发布策略分发软件,可以让用户自由选择安装软件。

* 环境集中管理：利用 AD 可以统一客户端桌面，IE，TCP/IP 等设置。

* 增强安全性：统一部署杀毒软件和扫毒任务，集中化管理用户的计算机权限、统一制订用户密码策略等，可监控网络，资料统一管理。

* 更可靠：更少的宕机时间。如：利用 AD 控制用户访问权限，利用群集、负载均衡等技术对文件服务器进行容灾设定，更可靠，宕机时间更少。

* 活动目录为 Microsoft 统一管理的基础平台，其它 ISA、Exchange、SMS 等服务都依赖于这个基础平台。

域信息收集命令

query user || qwinsta 查看当前在线用户
net user 查看本机用户
net user /domain 查看域用户
net view & net group "domain computers" /domain 查看当前域计算机列表 第二个查的更多
net view /domain 查看有几个域
net view \\\\dc 查看 dc 域内共享文件
net group /domain 查看域里面的组
net group "domain admins" /domain 查看域管
net localgroup administrators /domain /这个也是查域管，是升级为域控时，本地账户也成为域管
net group "domain controllers" /domain 域控
net time /domain
net config workstation 当前登录域 - 计算机名 - 用户名
net use \\\\域控(如 pc.xx.com) password /user:xxx.com\username 相当于这个帐号登录域内主机，可访问资源
ipconfig
systeminfo
tasklist /svc
tasklist /S ip /U domain\username /P /V 查看远程计算机 tasklist
net localgroup administrators && whoami 查看当前是不是属于管理组
netstat -ano
nltest /dclist:xx 查看域控
whoami /all 查看 Mandatory Label uac 级别和 sid 号
net sessoin 查看远程连接 session (需要管理权限)
net share 共享目录
cmdkey /l 查看保存登陆凭证
echo %logonserver% 查看登陆域
spn –l administrator spn 记录
set 环境变量
dsquery server - 查找目录中的 AD DC/LDS 实例
dsquery user - 查找目录中的用户
dsquery computer 查询所有计算机名称 windows 2003
dir /s *.exe 查找指定目录下及子目录下没隐藏文件
arp -a

我们来查询当前环境

whoami & ipconfig /all

查询域里边的用户

net user /domain

查询域里边的组

net group /domain

查询域管理

net group "domain admins" /domain

查找域控服务器

net time

查询时间这个命令会请求域服务器的时间(这里就可以看到域控服务器)

net config workstation

查看当前工作环境

nltest /dclist:moonsec

查询域控

ping/nslookup查找域控

ping 08server-dc.moonsec.fbi

也可以只输入这个

ping 08server-dc

可以得到域控ip

nslookup 08server-dc.moonsec.fbi

也可以输入

nslookup 08server-dc

主机发现

在域内进行横行渗透时，首先要收集主机的端口和 ip 信息

net view /domain 查询域内的主机信息

发生系统错误 6118 出现这种错误时 Computer Browser 被禁用了在域管理启用即可

这里只能在域控上查看

win10上是查看不了哦的

这里我们也可以用arp

arp -a 查询通信

nbtscan 发现主机

我们把nbtscan.exe文件拖入cmd框内

C:\Users\test\Desktop\nbtscan.exe -r 192.168.25.0/24

然后我们也可以用

bat 命令发现主机(这里要等待较长时间)

for /l %i in (1,1,255) do @ping 192.168.25.%i -w 1 -n 1|find /i "ttl="

通过 powershell 脚本扫描 IP 地址存活：

powershell.exe -exec bypass -Command "Import-Module ./Invoke-TSPingSwee p.ps1;Invoke-TSPingSweep -StartAddress 192.168.25.0 -EndAddress 192.168. 25.255"

脚本下载地址：

https://github.com/dwj7738/My-Powershell-Repository/blob/master/Scripts/Invoke-TSPingSweep.ps1

用 PowerShell 实现基本的端口扫描功能。

针对单个 IP 的多个端口的扫描：

PS C:\Users\Bypass> 1..1024 | % {echo ((new-object Net.Sockets.TcpClien t).Connect("192.168.25.155",$_)) "Port $_ is open!"} 2>$null

针对某 IP 段中单个端口的扫描：

foreach ($ip in 1..20) {Test-NetConnection -Port 80 -InformationLevel " Detailed" 192.168.25.$ip}

针对某 IP 段 & 多个端口的扫描器

1..20 | % { $a = $_; 1..1024 | % {echo ((new-object Net.Sockets.TcpClie nt).Connect("192.168.25.$a",$_)) "Port $_ is open!"} 2>$null}

然后我们可以使用msf

基于MSF的内网主机探测

使用 msf 进行反弹 shell 进行内网渗透时，通过 msf 自带的扫描模块进行快速扫描。

主机存活探测：

auxiliary/scanner/discovery/arp_sweep ARP 扫描
auxiliary/scanner/discovery/udp_sweep UDP 扫描
auxiliary/scanner/netbios/nbname NETBIOS 扫描
auxiliary/scanner/snmp/snmp_enum SNMP 扫描
auxiliary/scanner/smb/smb_version SMB 扫描

端口扫描：

auxiliary/scanner/portscan/ack TCP ACK 端口扫描
auxiliary/scanner/portscan/ftpbounce FTP bounce 端口扫描
auxiliary/scanner/portscan/syn SYN 端口扫描
auxiliary/scanner/portscan/tcp TCP 端口扫描
auxiliary/scanner/portscan/xmas TCP XMas 端口扫描

我们打开kail

msfconsole
use auxiliary/scanner/smb/smb_version SMB
show options
set rhosts 192.168.25.0/24
set threads 20
run

也可以使用nmap

nmap Nmap 是一个端口扫描器，可用于主机发现、端口扫描、版本检测、OS 检测等。

使用场景：建立 socks 代理，proxychains+Nmap 扫描内网。

支持多种扫描模式：

-sT: TCP 扫描
-sS: SYN 扫描
-sA: ACK 扫描
-sF：FIN 扫描
-sU: UDP 扫描
-sR: RPC 扫描
-sP: ICMP 扫描

快速扫描所有端口：

nmap -sS -p 1-65535 -v 192.168.25.155

我们扫描445端口

nmap -sT -Pn 192.168.25.0/24 -p 445

域渗透思路

通过域成员主机，定位出域控制器 IP 及域管理员账号，利用域成员主机作为跳板，扩大渗透范围，利用域管理员可以登陆域中任何成员主机的特性，定位出域管理员登陆过的主机 IP，设法从域成员主机内存中 dump 出域管理员密码，进而拿下域控制器、渗透整个内网。