第122天：内网安全-域信息收集&应用网络凭据&CS 插件&Adfind&BloodHound

前置知识

本文利用资源下载地址

链接：https://pan.baidu.com/s/14yHi80kK7IAXKPAyNDSUvg?pwd=c8j6

提取码：c8j6

域控内主机与平常所用主机的区别，域控内主机是进行统一管理，受到控制机限制，如果你想访问域内的资源，就必须拥有一个合法的身份登陆到该域中,而你对该域内的资源拥有什么样的权限,还需要取决于你在该域中的用户身份。

比如安装程序，域控主机安装程序时需要输入管理员的账号密码，而普通用户则不用，域控制机还可以同一下发策略进行系统主机的管理

正常情况下输入whoami，得到的是计算机名/用户名

而域控主机得到的则是域控/域用户名

背景和思路

一个具有一定规模的企业，每天都可能面临员工入职和离职，因此网络管理部门经常需要对域成员主机进行格式化消除磁盘的文件，然后重装系统及软件，以提供给新员工使用；因此，为了便于后期交接，大多网络管理员会做好一个系统镜像盘，统一安装所有的电脑，并且在安装的时候设置惯用、甚至统一的密码。

因此，域中的计算机本地管理员账号，极有可能能够登陆域中较多的计算机，本地管理员的密码在服务器上后期修改的概率，远低于在个人办公电脑上的概率，而域用户权限是较低的，是无法在域成员主机上安装软件的，这将会发生下面的一幕：

在这里插入图片描述

某个域用户需要使用viso软件进行绘图操作，于是联系网络管理员进行安装，网络管理员采用域管理员身份登录了域成员主机，并帮助其安装了viso软件，于是这个有计算机基础的员工，切换身份登录到了本地计算机的管理员，后执行mimikatz（可以获取密码），从内存当中抓取了域管理员的密码，便成功的控制了整个域。

因此，域渗透的思路就是：通过域成员主机，定位出域控制器IP及域管理员账号，利用域成员主机作为跳板，扩大渗透范围，利用域管理员可以登陆域中任何成员主机的特性，定位出域管理员登陆过的主机IP，设法从域成员主机内存中dump出域管理员密码，进而拿下域控制器、渗透整个内网。

域成员主机------>定位出域控制器IP及域管理员账号------>域成员主机作为跳板------>域管理员登陆过的主机IP------>从域成员主机内存中dump出域管理员密码------>拿下域控制器、渗透整个内网

判断是否在域内

net time /domain
net view /domain
net user /domain
whoami 是否和主机名一致

普通主机

域控主机

案例一：架构信息类收集-网络&用户&域控等

ipconfig /all

无域控的主机

有域控的主机

有域控的主机，系统一般都会需要一个dns服务器进行公司内部网站的请求访问设置

收集域控内所有主机

net group "domain computers" /domain

与控制中显示一致

获得域控ip

获取域管理员的账号

net group "domain admins" /domain

获得域控名

net group "domain controllers" /domain

可以直接ping域控名来获取域控制机的ip

或者通过ping这条命令net time /domain获得的计算机名，来获取ip

案例二：自动化工具探针-插件&Adfind&BloodHound

首先先利用cs工具让域控内的主机上线

cs默认功能里面可以进行与控制机端口扫描和主机扫描

先进行net view主机扫描和端口扫描，扫描的时候打开目标列表

扫描出来的主机会自动显示到targets中

利用cs自带的mimikatz进行密码获取

但是这里权限不够需要进行提权

进行cs模块进行提权

配置模块文章

第98天：权限提升-WIN 全平台&MSF 自动化&CS 插件化&EXP 筛选&溢出漏洞_cs 利用插件提权的方法-CSDN博客

利用该权限再次抓取明文密码

打开视图里面密码凭据，密码会直接显示到下方

获得了密码现在可以进行横向移动

成功了就会上线一个新的主机

Adfind(域信息收集工具)

上传（实验发现该工具也需要使用system权限）

利用模块发现域内的信息

域控制器名

域内计算机名

域内用户名

BloodHound（自动化域渗透工具）

首先把该目录下

BloodHound-win32-x64\resources\app\Collectors\DebugBuilds

sharphound.exe复制到域环境主机中执行（这里我之前的win7无法执行，没安装.net framework4，用了一台win2019）

输入下面的代码获得域控所有信息

SharpHound.exe -c all

启动该目录neo4j-community-3.5.9\bin下的neo4j环境

启动bloodhound.exe

是下图所示的界面，账号密码均为neo4j

但是无法登录，需要登录

浏览器访问http://localhost:7474/browser/进行密码修改后再登录

登录后的界面

把刚才域信息的压缩包进行添加

加载完成后点击关闭

可以查看域内信息的基本情况

可以看他所有的功能

这里只介绍到了安装，具体功能以后再用。