1. 前言

??滲透測試的本質(zhì)就是信息收集，不管是web還是在內(nèi)網(wǎng)中，信息收集的全面性會直接影響后續(xù)的滲透測試工作，通常web端使用文件上傳等進(jìn)入內(nèi)網(wǎng)后，就需要判斷當(dāng)前的網(wǎng)絡(luò)環(huán)境和權(quán)限，為后續(xù)的橫向移動等工作做好鋪墊。

2. 關(guān)于域

??域英文叫DOMAIN——域(Domain)是Windows網(wǎng)絡(luò)中獨(dú)立運(yùn)行的單位，域之間相互訪問則需要建立信任關(guān)系(即Trust Relation)。信任關(guān)系是連接在域與域之間的橋梁。當(dāng)一個域與其他域建立了信任關(guān)系后，2個域之間不但可以按需要相互進(jìn)行管理，還可以跨網(wǎng)分配文件和打印機(jī)等設(shè)備資源，使不同的域之間實(shí)現(xiàn)網(wǎng)絡(luò)資源的共享與管理，以及相互通信和數(shù)據(jù)傳輸。

??域既是 Windows 網(wǎng)絡(luò)操作系統(tǒng)的邏輯組織單元，也是Internet的邏輯組織單元，在 Windows 網(wǎng)絡(luò)操作系統(tǒng)中，域是安全邊界。域管理員只能管理域的內(nèi)部，除非其他的域顯式地賦予他管理權(quán)限，他才能夠訪問或者管理其他的域，每個域都有自己的安全策略，以及它與其他域的安全信任關(guān)系。

??如果企業(yè)網(wǎng)絡(luò)中計算機(jī)和用戶數(shù)量較多時，要實(shí)現(xiàn)高效管理，就需要windows域。

2.1. 域搭建

??關(guān)于域搭建，我覺得是一個很簡單的過程，這里我在總結(jié)的時候，在想到底要不要一步一步來操作，后來想了一下，域這個搭建是一個很簡單的過程，我覺得沒必要去寫，如果實(shí)在不懂如何搭建的話去百度搜索一下吧。

??當(dāng)然實(shí)際在滲透測試中也不會要你去搭建域環(huán)境，但是多多少少還是需要去了解一下域。

2.2. 域滲透思路

??域滲透思路：通過域成員主機(jī)，定位出域控制器IP及域管理員賬號，利用域成員主機(jī)作為跳板，擴(kuò)大滲透范圍，利用域管理員可以登陸域中任何成員主機(jī)的特性，定位出域管理員登陸過的主機(jī) IP，設(shè)法從域成員主機(jī)內(nèi)存中 dump 出域管理員密碼，進(jìn)而拿下域控制器、滲透整個內(nèi)網(wǎng)

3. 域信息收集

??以及都是基于通過某種方式已經(jīng)獲取到域內(nèi)主機(jī)的情況下操作，并且在域內(nèi)進(jìn)行信息收集，收集到的信息越多，那么拿下域內(nèi)控制器的概率就越高。

??下圖來源你懂的~，這個更詳細(xì)一些。

3.1. 判斷是否存在域

3.1.1. 查詢網(wǎng)絡(luò)信息

??一般通過查詢IP網(wǎng)絡(luò)或系統(tǒng)信息時，就能夠發(fā)現(xiàn)域控。

ipconfig /all

systeminfo

3.1.2. 查詢當(dāng)前登錄域與域環(huán)境

??通過查詢可以判斷當(dāng)前的登錄的域與域環(huán)境。

net config workstation

3.1.3. 判斷主域

??域服務(wù)器通常都會作為時間服務(wù)器，可以通過下列的命令來判斷主域。

net time /domain

??存在域，并且當(dāng)前用戶為域用戶。

??工作環(huán)境為工作組，不存在域。

??存在域，但當(dāng)前用戶不是域用戶。

3.2. 查找域控制器

??在得到域名后，就可以通過域名進(jìn)一步的獲取域控制器的地址及其它信息。

3.2.1. 查詢DNS地址

??一般情況下DNS地址就是域控制器的地址。

ping 域名

nslookup 域名

3.2.2. 查看域控制器的機(jī)器名

nltest /DCLIST:域名

3.2.3. 查看域控制器

net group "Domain Controllers" /domain

3.3. 獲取域內(nèi)用戶和管理員

??這里主要我們需要收集的就是域內(nèi)的一下用戶以及管理員信息。

3.3.1. 查詢域內(nèi)所有用戶組列表

net group /domain

3.3.2. 查詢域管理員列表

net group "Domain Admins" /domain

3.3.3. 獲取所有域用戶列表

net user /domain

3.3.4. 獲取指定域用戶的詳細(xì)信息

net user 用戶名稱 /domain

3.3.5. 查看域密碼策略

net accounts /domain

3.3.6. 查看加入域的所有計算機(jī)名

net group "domain computers" /domain

3.3.7. 獲取加入域計算機(jī)地址

ping 計算機(jī)名

4. CS域信息收集

??這里采用CS進(jìn)行域信息收集，關(guān)于CS想必學(xué)到這里都應(yīng)該知道了，同時在之前的權(quán)限提升文章中也大概介紹了CS的作用以及使用，同時相關(guān)的插件也基于了，如果沒有相關(guān)的插件可以自行去搜索。

??棱角社區(qū)

4.1. 上線與提權(quán)

??這里就演示一下。

4.1.1. 域內(nèi)主機(jī)上線

??關(guān)于如何生成一個木馬我就演示了，很簡單的東西，之前也應(yīng)該都知道了，這里我直接讓域內(nèi)的一臺主機(jī)上線，可以看到我這個上線就是一個administrator用戶，其實(shí)只是演示影響不大。

4.1.2. 提權(quán)

??關(guān)于提權(quán)，這個在之前的提權(quán)文章中已經(jīng)寫很多了，這里直接使用工具中的提權(quán)來嘗試提權(quán)，可以看到，這里我隨便找了一個自動提權(quán)就成功提權(quán)了，也是由于我這個搭建的域是2008所以可能漏洞比較多，所以點(diǎn)一下就成功提權(quán)了。

4.2. 自動化信息收集

??通過自動化信息收集，可以更好的收集信息，而手動收集畢竟會比較麻煩。

4.2.1. 抓取明文密碼憑證

??這里需要先將權(quán)限提升到system然后去抓明文的密碼，獲取到的明文密碼，就可以嘗試對域內(nèi)其它主機(jī)進(jìn)行嘗試登陸，由于管理員在基于用戶的賬戶密碼一定是有規(guī)律的，而為了方便，部分管理員會設(shè)定不能修改密碼，所以你抓取到一個密碼后，可能就能夠?qū)崿F(xiàn)登陸其它的域內(nèi)主機(jī)。

4.2.2. 利用明文密碼

??這里是屬于后期的橫向移動，這里只是演示一下，也沒介紹，我也沒學(xué)習(xí)到。

4.2.2.1. 探測主機(jī)

??通過前期的網(wǎng)絡(luò)探測，探測到一些主機(jī)，這里我提前說一下10.200是我域控主機(jī)，我們最終的目的就是獲取到域控主機(jī)的權(quán)限，而這里我探測到域控主機(jī)地址了，通過前期的地址也能夠知道域控主機(jī)地址。

4.2.2.2. 橫向移動

??這里我們點(diǎn)擊這個橫向移動選擇64位的。

4.2.2.3. 配置參數(shù)

??在彈出的頁面我們配置一些參數(shù)，需要注意這里我們就能夠選擇我們前期獲取到的密碼來嘗試登陸，至于用戶名，也可以在前期的信息收集中獲取到，反之都輸入進(jìn)去試試，監(jiān)聽器就是選擇需要反彈回來的監(jiān)聽器，會話，要選擇剛剛提權(quán)后的system權(quán)限的會話。

??通過獲取也能夠看到是成功獲取到10.200的system權(quán)限也就是域控權(quán)限，當(dāng)然實(shí)際滲透中可能獲取還是比較復(fù)雜的，不過也不排除很幸運(yùn)一下子就獲取到。

4.2.3. 域信息收集

??由于太多了，這里我就不一條一條測試了，這里給各位看看即可，簡單來說就是省自己手動操作，不需要一條一條去敲命令。

5. BloodHound

??BloodHound 使用可視化圖形顯示域環(huán)境中的關(guān)系，攻擊者可以使用 BloodHound 識別高度復(fù)雜的攻擊路徑，防御者可以使用 BloodHound 來識別和防御那些相同的攻擊路徑。藍(lán)隊和紅隊都可以使用 BloodHound 輕松深入域環(huán)境中的權(quán)限關(guān)系。

??BloodHound 通過在域內(nèi)導(dǎo)出相關(guān)信息，在將數(shù)據(jù)收集后，將其導(dǎo)入Neo4j 數(shù)據(jù)庫中，進(jìn)行展示分析。因此在安裝 BloodHound 時，需要安裝 Neo4j 數(shù)據(jù)庫。

??這里注意去下載 BloodHound GUI 4.0.3，不要下載其它的版本了，我已經(jīng)被惡心到了，無語了，最新的采集器根本就不兼容，搞了我一個下午，還有就是關(guān)于這些，我還是沒解決，如果有解決的還請告知一下，由于目前很多文章就是沙雕引流的，直接復(fù)制幾年前的，找解決辦法就沒找到，還有很多文章是新發(fā)的，但是一看內(nèi)容，基本上就是復(fù)制粘貼沒實(shí)操，我這時心里有一句話不知該說不該說…

??BloodHound下載

5.1. 配置環(huán)境

??這里我使用Windows來搭建這個環(huán)境，因?yàn)?Neo4j 數(shù)據(jù)庫需要 Java 支持，因此安裝 BloodHound 需要先安裝 Java，這里想必關(guān)于JAVA方面的步驟我就不贅述了，也沒多難，而且之前很多工具都需要使用到j(luò)ava，所以應(yīng)該都安裝了。

5.2. neo4j

??在這里點(diǎn)擊完可能需要讓你輸入一些信息才給你下載，這里不想填就隨便天天，然后點(diǎn)擊下載，就會彈出下載框。

??neo4j下載

5.2.1. 啟動neo4j

??這里解壓文件后加入bin中輸入命令進(jìn)行啟動，需要注意的是java版本不能太低，同時若一個系統(tǒng)中有多個java版本，那么就需要切換，否則無法執(zhí)行。

neo4j.bat console

5.2.2. 打開頁面

??這里訪問http://127.0.0.1:7474/即可打開頁面，默認(rèn)的賬戶密碼都是neo4j，輸入完會讓你重置密碼，這里你設(shè)置一個即可。

5.2.3. 設(shè)置密碼

??這里隨便設(shè)置一個，完成后就成功了。

5.3. BloodHound

??下載一定要下載對應(yīng)的版本，千萬不能下載錯誤了。

5.3.1. 運(yùn)行界面

??解壓下載下來的文件，在目錄中尋找到BloodHound.exe，點(diǎn)擊運(yùn)行，就會彈出一個登陸窗口，賬戶就是neo4j，密碼就是剛剛設(shè)置的。

5.3.2. 界面介紹

??在這個界面中就會有很多的功能，不過還是推薦去看官方的文檔，你讓我介紹我也是直接復(fù)制粘貼。

??官方文檔

5.4. 數(shù)據(jù)收集

??當(dāng)做好前期的準(zhǔn)備就可以下載采集器進(jìn)行采集信息了，額，這里的話還是一樣，各種報錯，各種使用不了，網(wǎng)上也沒找到解決的辦法。

5.4.1. 下載采集器

??關(guān)于采集器這里，下載完后，在目錄中能夠找到采集器，這里我看我的截圖。

5.4.2. 執(zhí)行采集器

??這里我們將下載下來的采集器上傳至域服務(wù)器中，然后就會獲取到相關(guān)的壓縮包，但是這里還是遇到問題了，一個下午了沒解決…

??這里只要執(zhí)行就是出現(xiàn)這種錯誤，不管是管理員啟動還是什么啟動均會出現(xiàn)這種錯誤。

5.5. 總結(jié)

??關(guān)于BloodHound倒是能夠搭建出來，但是到采集器SharpHound的時候就出先很多問題了，這里我發(fā)現(xiàn)我使用Windows2012、2008、7、10等均為執(zhí)行成功，根據(jù)部分解決辦法下載了.NET Framework不行，后續(xù)就不知道如何解決了。如果后面能夠解決了，我會單獨(dú)寫一篇介紹的，我個人覺得是沒不要去試了。文章來源地址http://www.zghlxwxcb.cn/news/detail-461745.html

到了這里，關(guān)于內(nèi)網(wǎng)滲透—域環(huán)境之信息收集的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！