65内网安全-域环境&工作组&局域网探针

这篇分为三个部分,基本认知,信息收集,后续探针,

基本认知

分为,名词,域,认知;

完整架构图

名词

dwz称之为军事区,两个防火墙之间的区域称之为dwz,但安全性比内网较低,在dwz有邮件服务器,web服务器,我一般攻击内网是借助的web服务器。有dwz的存在大大增加了渗透内网的难度,即使拿下了web权限,也是要在渗透内网才可以的。

把一些不得不对外开放的东西,放到dwz;不用对外开放的都放在内网。

局域网:小公司,几台计算机的成为局域网也叫做工作组;

和域环境的区别:

范围小的计算机在一个局域网里面我们叫做工作组,不用去管理这些计算机。域环境需要一台主机去管理这些计算机,在大型环境里面就会用到域环境,方便去管理每一台机器,不用一台一台去管理,工作组的升级版。

工作组和域环境的攻击手法也有所差异。

域控制器dc;就是这个域里面的管理者,

活动目录ad;这是域控制器上面的一个策略,功能主机,比如一些安装软件,策略啊,都是由他来管理,

单域;公司里面有一个域环境,把所有东西都放在哪一个域里面,就是单域,

父域和子域;假如公司有了分公司,分公司有一个自己单独的域,但是还是会被主公司统筹管理

域数和域森林;框架结果有很多分支就称之为域森林,

认知

linux域渗透问题;linux域需要一个叫ldap的环境支撑,而且功能环境没有windows那么强大,大部分碰到的域都是windwos; 所以讲这个内网只会讲一点点linux。

局域网技术适用问题;

比如搜索,很明显地给出了适合局域网攻击,

大概内网流程安全问题;

大概就是,前期把基础知识搞清楚,接下来就进行信息收集,信息收集完只会就会涉及权限提升,权限可在前也可在后,我一般喜欢放在前面,自己权限足够高才能更好的操作;接下来就是横向渗透,知识点主要集中在这块;接下来是权限维持,不过重点还是在前面横向渗透,把前面横向渗透搞清楚之后,权限维持也懂

域环境框架

别的所有设备都在一个网段,唯独web服务器有两个网段,不同的网段就是对外开发的网段,黑客攻击的网段也是这个对外开放的,黑客通过对外的网段攻击到计算机,由于内网网段处于内网的链接,又享有192.168.3.31的访问的权限,可以针对内网环境的一些主机进行访问,攻击,首要攻击目标就是域控机dc。

这是单域的情况框架

案例一信息收集

信息收集包括:

信息收集的意义:判断当前服务器的操作系统以及版本,计算机的基本信息,为后续判断服务器脚本和网络环境做准备,

旨在了解当前服务器的计算机基本信息,为后续判断服务器角色,网络环境等做准备

systeminfo 详细信息

net start 启动服务

tasklist 进程列表

schtasks 计划任务

在执行查看计划任务的适合就提示出来权限不够,这就是为什么要做提权操作,

案例二网络信息收集操作演示

旨在了解当前服务器的网络接口信息,为判断当前角色,功能,网络架构做准备

ipconfig /all 判断存在域:根据是否有"主DNS后缀"一栏判断是否存在域

net view /domain 判断存在域:能成功返回说明存在域

net time /domain 判断主域:会返回主域的时间,可以确定主域名,配合"nslookup""ping"确定IP地址

netstat -ano 当前网络端口开放

nslookup 域名 追踪来源地址

最简单的判断是域的方法 ipconfi /all

看回显这里,dns后缀有显示,就是在域里面

我本机执行就没有,

net view /domain,判断

看到回显有信息版本就是有域

我本机就没有

net time /domain 判断主域

net time是查看时间的意思,而加上/domain就是在域环境里面查看

出现了这个东西,前面输入ipconfig /all有一个dns后缀叫god.org

本机就没有

域森林和父域子域概念,dns后缀是got.org,现在有两个主机名字

这就出现了域森林,多余的型号,说明当前环境存在多域

sqlserver.god.org

这个就是父域

xiaodi.sqlserver.god.org

这个就相当于子域

为什么输入那个查看时间判断主域,因为域的时间一般都以域控制器为准,所以获取域时间,就会从域控上面获取,而前面显示的名字,就是域控的名字

这时候就可以利用nslockup 域控名字 去查看ip

这个ip地址就是域控的ip

也可以直接去ping主机名在获取到ip地址

netstak -ano

查看当前主机开放端口

信息主要是为了判断端口情况,为当前角色,功能,框架做出准备,知道当前服务器是干嘛用的,比如前面看基本上我发现这台主机的名字叫做webserver,webserver就是web服务器,这台计算机服务器就是网站服务提供。

每个服务器的角色,就大概知道干嘛用的。通过知道角色可以判断出来攻击手法,比如是网站服务器主机就用web攻击手段;自己的个人电脑,就不可能使用web攻击手法,他连网站都没有。

案例三用户信息收集操作演示

旨在了解当前计算机或域环境下的用户及用户组信息,便于后期利用凭据进行测试,系统默认常见用户身份(我们主要攻击Domain Admains和Enterprise Admains,大部分成员主机在Domain users域用户里)

Domain Admins:域管理员(默认对域控制器有完全控制权)

Domain Computers:域内机器

Domain Controllers:域控制器

Domain Guest:域访客,权限低

Domain Users:域用户

Enterprise Admins:企业系统管理员用户(默认对域控制器有完全控制权)

一般我们主要攻击目标就是Domain Admins:域管理员和Enterprise Admins:企业系统管理员用户

而用户一般都存放在Domain Users:域用户

net user 本地用户

在本地用户一个普通用户点计算机右键管理的时候,会弹窗要登录adminsteast账户密码次啊可以打开,而如果登录管理用户的就可以直接右键管理查看策略什么的信息

net user /domain 获取域用户信息

net localgroup 本地用户组

net group /domain 查看域里面用户组

wmic useraccount get /all 涉及域用户详细信息

就相当于知道了域里面的用户名以及ip,假如有了域用户的密码就能进行操作了,书记这个信息就是为了后续密码账户攻击做准备,有了域用户名就可以用密码上面的攻击套用上去进行攻击,爆破,

net group "Domain Admins" /domain 查询域管理员账户

net group "Enterprise Admins" /domain 查询管理员用户组

net group "Domain Controllers" /domain 查询域控制器

案例四凭据信息收集操作演示

分为两类,

计算机用户的hash值,和明文的获取,指的就是操作系统上的账户密码信息,

mimikatz(爆破hash值的神器),

imikatz下载:https://github.com/gentilkiwi/mimikatz/releases

这个需要管理员权限运行才可以,所以为什么课程安排是先进性提权,然后运行这个脚本,这个脚本有一个是免反弹式窗口的脚本,运行他就可以自动生成一个txt文件,里面就是运行后的结果,不用担心会出现没有反弹式窗口的情况

以管理员身份运行

之后就直接出来了明文密码和hash值

linux版本的脚本,没有mimiakatz好

mimipenguin下载:https://github.com/huntergregal/mimipenguin/releases/

打开下载链接有他支持的部分版本

下载好解压,直接运行脚本就会返回结果

计算机协议服务口令的获取,

要收集的信息

1.站点源码备份文件、数据库备份文件等

2.各类数据库 Web 管理入口,如PHPMyAdmin

3.浏览器保存密码、浏览器 Cookies

4.其他用户会话、3389 和 ipc$连接记录、回收站内容

5.Windows 保存的 WIFI 密码

6.网络内部的各种帐号和密码,如:Email、VPN、FTP、OA 等

收集这些的作用:内网的攻击大部分都是建立在口令上的攻击,而管理员设置的密码都会有一定规矩,可能跟自己名字有关吧,就比如正常人的微信密码和qq的肯定有相似,甚至一样。内网肯定有办公电脑,有办公电脑就有他个人信息在上面,

两个利用工具;LaZagne(all),XenArmor(win)

LaZagne

这个要注意免杀,听老师说就是改一下md5字符串就行

直接拖入命令行运行

选择参数所有

但是有很多秘密都得不到,这里的解释,就是这个脚本是给垃圾,只是支持面广而已

下载:https://github.com/AlessandroZ/LaZagne (注意不能直接点击运行会闪退,要在命令行里面运行)

XenArmor(win)

国外软件,价格40-50美元,网上可能有破解版,不过是老版

下载地址:https://xenarmor.com/allinone-password-recovery-pro-software/(浏览器、WiFi、FTP的密码都可以发现)

这个收费的就是牛逼

什么密码都翻出来了。连你忘了的密码都有,就是这么牛逼,付费就是不一样

获取这么口令密码的原因:这些口令密码就能是我的字典,开了3389协议,用这个字典去测试能不能登录,如果能登录我就拿到了新的一台内网服务器权限,拿到了之后再继续执行这个事情,然后字典就更加全面,

案例五探针主机域控架构服务操作演示

现在是一家把信息收集,收集好了,

探针域控制器以及地址信息

net time /domain,看到控制器的名字

nslookup 控制器名 查看控制器的详细信息

ping 域控名 获取到ip

探针域内存活(在线)主机及地址信息

存活主机就是指在线的主机,

nbtscan 192.168.3.0/24 第三方工具(类似于nmup,但是会标注域用户名和dc)

---下载:http://unixwiz.net/tools/nbtscan.html

(既不免杀,也老,还要下载)实在不怎么滴

好处就是会标明域控,但是,这个第一步就已经获取了

for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.3.%I | findstr "TTL="(用for循环去ping1-254网段的主机,这是自带内部命令,不会被杀毒软件拦截)

不用担心扫描被杀

其它探针方式如:

nmap(易拦截)、masscan、第三方PowerShell脚本(windows的脚本开发语言)、nishang(推荐)、empire(推荐)等

PowerShell是windows上面的一个语言,和cmd差不多的,可以实现在windows实现功能开发语言,实现一些功能,攻击者就利用这个自己写一个PowerShell的脚本去攻击,

Nishang下载: https://github.com/samratashok/nishang

第一步导入模块,Import-Module .\nishang.psm1

如果导入不了,就设置一个执行策略

Set-ExecutionPolicy RemoteSigned

设置完之后点y就行

Get-Command -Module nishang 获取模块nishang的命令函数(有很多命令函数分别执行不同功能,比如以下命令)

Get-information 获取常规计算机信息

组,用户,密码,域,目录什么的都收集好了

Invoke-Mimikatz 获取计算机用户名密码

调用一下这个mimikatz参数

和执行mimikatz得到的一模一样

Invoke-Portscan -startaddress 192.168.3.0 -Endaddress 192.168.3.100 -ResolveHost -ScanPort 端口扫描(查看目录对应文件有演示语法,其他同理)

真的牛逼,根据名字在判断每个电脑的角色,有些设置了权限会出现访问不了,提权提到系统权限,就能突破这个限制,就不收用户的限制,

其他的功能:删除补丁,反弹shell,凭据获取

  • 利用开放端口服务及计算机名判断
  • 核心业务机器:
    • 1.高级管理人员,系统管理员,财务/人事、业务人员的个人计算机
    • 2.产品管理系统服务器
    • 3.办公系统服务器
    • 4.财务应用系统服务器
    • 5.核心产品源码服务器
    • 6.数据库服务器
    • 7.文件或者网盘服务器
    • 8.电子邮件服务器
    • 9.网络监控系统服务器
    • 10.其他服务器(内部技术文档服务器,其他监控服务器)

当前渗透成功的角色基本上可以确定能不能渗透成功的概率。

fa

cai

相关推荐
Smartdaili China1 小时前
如何在 Microsoft Edge 中设置代理: 快速而简单的方法
前端·爬虫·安全·microsoft·edge·社交·动态住宅代理
儒道易行2 小时前
【DVWA】RCE远程命令执行实战
网络·安全·网络安全
Hacker_LaoYi2 小时前
网络安全与加密
安全·web安全
Koi慢热3 小时前
路由基础(全)
linux·网络·网络协议·安全
hzyyyyyyyu5 小时前
内网安全隧道搭建-ngrok-frp-nps-sapp
服务器·网络·安全
网络研究院5 小时前
国土安全部发布关键基础设施安全人工智能框架
人工智能·安全·框架·关键基础设施
Daniel 大东6 小时前
BugJson因为json格式问题OOM怎么办
java·安全
EasyNVR11 小时前
NVR管理平台EasyNVR多个NVR同时管理:全方位安防监控视频融合云平台方案
安全·音视频·监控·视频监控
黑客Ash13 小时前
【D01】网络安全概论
网络·安全·web安全·php
阿龟在奔跑15 小时前
引用类型的局部变量线程安全问题分析——以多线程对方法局部变量List类型对象实例的add、remove操作为例
java·jvm·安全·list