工作组
工作组:工作组是局域网中的一个概念,他是长久的资源管理模式。默认情况下使 用工作组方式进行资源管理,将不同的 computer 按照不同的要求分类到不同的组
域:用来描述一种架构,和“工作组”相对应,由工作组升级而来的高级架构,域 (Domain)是一个有安全边界的计算机集合( 安全边界,意思是在两个域中,一个 域中的用户无法访问另一个域中的资源)。可以简单的把域理解成升级版的“工作 组”,相比工作组而言,它有一个更加严格的安全管理控制机制,如果你想访问域 内的资源,就必须拥有一个合法的身份登陆到该域中,而你对该域内的资源拥有什 么样的权限,还需要取决于你在该域中的用户身份。
域的几种环境 •
单域 通常一个小公司,一般一个域就可以,一个域内,要至少两台域服务器,一 台作为域控制器,另一台当备份。 活动目录的数据库【包括用户的账号信息】是存储在域控制器中,若没备 份,瘫痪了不能正常使用了!
父域和子域 出于管理及其他需求,需要在网络中划分多个域。第一个域称为父域,其他为子 域
域名服务器 DNS
是指用于实现域名和与之相对应的 IP 地址转换的服务器。从对域树的介绍中来看 出,域树中的域名和 DNS 域名非常相似。而实际上,因为域名的计算机是使用 DNS 来定位域控制器、服务器及其他计算机、网络服务的,所以域的名字就是 DNS 域的名字。 在内网渗透测试中,大都是通过寻找 DNS 服务器来确定域控制器的位置的{DNS 服务器和域控制器通常配置在同一台机器上}
域术语
DC:域控,域的创建者 域管理:域控上的管理员 AD 活得目录:Active Directory NTDS.dit:域用户帐户以域数据库的形式保存在活动目录中 Ntdsutil.exe-ntdsutil.exe 是域控制器自带的域数据库管理工具,从 windows Server 2008 开始就默认自带了。因此我们可以通过 ntdsutil.exe 提取出域中所有 的域用户信息 常见结构:组织单元(OU)、域(DOMAIN)、域树(tree)、域森林(forest),在域树内的 所有域共享一个活动目录,这个活动目录内的数据分散地存储在各个域内,且每一 个域只存储该域内的数据
活动目录:
* 帐号集中管理:所有帐号均存在服务器上,方便对帐号的重命名/重置密码。
* 软件集中管理:统一推送软件,统一安装网络打印机等。利用软件发布策略分发 软件,可以让用户自由选择安装软件。
* 环境集中管理:利用 AD 可以统一客户端桌面,IE,TCP/IP 等设置。
* 增强安全性:统一部署杀毒软件和扫毒任务,集中化管理用户的计算机权限、统 一制订用户密码策略等,可监控网络,资料统一管理。
* 更可靠:更少的宕机时间。如:利用 AD 控制用户访问权限,利用群集、负载均 衡等技术对文件服务器进行容灾设定,更可靠,宕机时间更少。
* 活动目录为 Microsoft 统一管理的基础平台,其它 ISA、Exchange、SMS 等服务 都依赖于这个基础平台。
域信息收集命令
query user || qwinsta 查看当前在线用户
net user 查看本机用户
net user /domain 查看域用户
net view & net group "domain computers" /domain 查看当前域计算机列表 第二个查的更多
net view /domain 查看有几个域
net view \\\\dc 查看 dc 域内共享文件
net group /domain 查看域里面的组
net group "domain admins" /domain 查看域管
net localgroup administrators /domain /这个也是查域管,是升级为域控时,本地账户也成为域管
net group "domain controllers" /domain 域控
net time /domain
net config workstation 当前登录域 - 计算机名 - 用户名
net use \\\\域控(如 pc.xx.com) password /user:xxx.com\username 相当于这个帐号登录域内主机,可访问资源
ipconfig
systeminfo
tasklist /svc
tasklist /S ip /U domain\username /P /V 查看远程计算机 tasklist
net localgroup administrators && whoami 查看当前是不是属于管理组
netstat -ano
nltest /dclist:xx 查看域控
whoami /all 查看 Mandatory Label uac 级别和 sid 号
net sessoin 查看远程连接 session (需要管理权限)
net share 共享目录
cmdkey /l 查看保存登陆凭证
echo %logonserver% 查看登陆域
spn –l administrator spn 记录
set 环境变量
dsquery server - 查找目录中的 AD DC/LDS 实例
dsquery user - 查找目录中的用户
dsquery computer 查询所有计算机名称 windows 2003
dir /s *.exe 查找指定目录下及子目录下没隐藏文件
arp -a我们来查询当前环境
whoami & ipconfig /all
查询域里边的用户
net user /domain
查询域里边的组
net group /domain
查询域管理
net group "domain admins" /domain
查找域控服务器
net time
查询时间 这个命令会请求域服务器的时间(这里就可以看到域控服务器)
net config workstation
查看当前工作环境
nltest /dclist:moonsec
查询域控
ping/nslookup查找域控
ping 08server-dc.moonsec.fbi
也可以只输入这个
ping 08server-dc
可以得到域控ip
nslookup 08server-dc.moonsec.fbi
也可以输入
nslookup 08server-dc
主机发现
在域内进行横行渗透时,首先要收集主机的端口和 ip 信息
net view /domain 查询域内的主机信息
发生系统错误 6118 出现这种错误时 Computer Browser 被禁用了 在域管理启用即 可
这里只能在域控上查看
win10上是查看不了哦的
这里我们也可以用arp
arp -a 查询通信
nbtscan 发现主机
我们把nbtscan.exe文件拖入cmd框内
C:\Users\test\Desktop\nbtscan.exe -r 192.168.25.0/24
然后我们也可以用
bat 命令发现主机(这里要等待较长时间)
for /l %i in (1,1,255) do @ping 192.168.25.%i -w 1 -n 1|find /i "ttl="
通过 powershell 脚本扫描 IP 地址存活:
powershell.exe -exec bypass -Command "Import-Module ./Invoke-TSPingSwee p.ps1;Invoke-TSPingSweep -StartAddress 192.168.25.0 -EndAddress 192.168. 25.255"
脚本下载地址:
https://github.com/dwj7738/My-Powershell-Repository/blob/master/Scripts/Invoke-TSPingSweep.ps1
用 PowerShell 实现基本的端口扫描功能。
针对单个 IP 的多个端口的扫描:
PS C:\Users\Bypass> 1..1024 | % {echo ((new-object Net.Sockets.TcpClien t).Connect("192.168.25.155",$_)) "Port $_ is open!"} 2>$null
针对某 IP 段中单个端口的扫描:
foreach ($ip in 1..20) {Test-NetConnection -Port 80 -InformationLevel " Detailed" 192.168.25.$ip}
针对某 IP 段 & 多个端口的扫描器
1..20 | % { $a = $_; 1..1024 | % {echo ((new-object Net.Sockets.TcpClie nt).Connect("192.168.25.$a",$_)) "Port $_ is open!"} 2>$null}
然后我们可以使用msf
基于MSF的内网主机探测
使用 msf 进行反弹 shell 进行内网渗透时,通过 msf 自带的扫描模块进行快速扫 描。
主机存活探测:
auxiliary/scanner/discovery/arp_sweep ARP 扫描
auxiliary/scanner/discovery/udp_sweep UDP 扫描
auxiliary/scanner/netbios/nbname NETBIOS 扫描
auxiliary/scanner/snmp/snmp_enum SNMP 扫描
auxiliary/scanner/smb/smb_version SMB 扫描端口扫描:
auxiliary/scanner/portscan/ack TCP ACK 端口扫描
auxiliary/scanner/portscan/ftpbounce FTP bounce 端口扫描
auxiliary/scanner/portscan/syn SYN 端口扫描
auxiliary/scanner/portscan/tcp TCP 端口扫描
auxiliary/scanner/portscan/xmas TCP XMas 端口扫描我们打开kail
msfconsole
use auxiliary/scanner/smb/smb_version SMB
show options
set rhosts 192.168.25.0/24
set threads 20
run
也可以使用nmap
nmap Nmap 是一个端口扫描器,可用于主机发现、端口扫描、版本检测、OS 检测等。
使用场景:建立 socks 代理,proxychains+Nmap 扫描内网。
支持多种扫描模式:
-sT: TCP 扫描
-sS: SYN 扫描
-sA: ACK 扫描
-sF:FIN 扫描
-sU: UDP 扫描
-sR: RPC 扫描
-sP: ICMP 扫描快速扫描所有端口:
nmap -sS -p 1-65535 -v 192.168.25.155
我们扫描445端口
nmap -sT -Pn 192.168.25.0/24 -p 445
域渗透思路
通过域成员主机,定位出域控制器 IP 及域管理员账号,利用域成员主机作为跳 板,扩大渗透范围,利用域管理员可以登陆域中任何成员主机的特性,定位出域管 理员登陆过的主机 IP,设法从域成员主机内存中 dump 出域管理员密码,进而拿 下域控制器、渗透整个内网。