這篇分為三個部分，基本認(rèn)知，信息收集，后續(xù)探針，

基本認(rèn)知

分為，名詞，域，認(rèn)知；

完整架構(gòu)圖

名詞

dwz稱之為軍事區(qū)，兩個防火墻之間的區(qū)域稱之為dwz，但安全性比內(nèi)網(wǎng)較低，在dwz有郵件服務(wù)器，web服務(wù)器，我一般攻擊內(nèi)網(wǎng)是借助的web服務(wù)器。有dwz的存在大大增加了滲透內(nèi)網(wǎng)的難度，即使拿下了web權(quán)限，也是要在滲透內(nèi)網(wǎng)才可以的。

把一些不得不對外開放的東西，放到dwz；不用對外開放的都放在內(nèi)網(wǎng)。

局域網(wǎng)：小公司，幾臺計算機(jī)的成為局域網(wǎng)也叫做工作組；

和域環(huán)境的區(qū)別：

范圍小的計算機(jī)在一個局域網(wǎng)里面我們叫做工作組，不用去管理這些計算機(jī)。域環(huán)境需要一臺主機(jī)去管理這些計算機(jī)，在大型環(huán)境里面就會用到域環(huán)境，方便去管理每一臺機(jī)器，不用一臺一臺去管理，工作組的升級版。

工作組和域環(huán)境的攻擊手法也有所差異。

域控制器dc；就是這個域里面的管理者，

活動目錄ad；這是域控制器上面的一個策略，功能主機(jī)，比如一些安裝軟件，策略啊，都是由他來管理，

域

單域；公司里面有一個域環(huán)境，把所有東西都放在哪一個域里面，就是單域，

父域和子域；假如公司有了分公司，分公司有一個自己單獨的域，但是還是會被主公司統(tǒng)籌管理

域數(shù)和域森林；框架結(jié)果有很多分支就稱之為域森林，

認(rèn)知

linux域滲透問題；linux域需要一個叫l(wèi)dap的環(huán)境支撐，而且功能環(huán)境沒有windows那么強(qiáng)大，大部分碰到的域都是windwos； 所以講這個內(nèi)網(wǎng)只會講一點點linux。

局域網(wǎng)技術(shù)適用問題；

比如搜索，很明顯地給出了適合局域網(wǎng)攻擊，

大概內(nèi)網(wǎng)流程安全問題；

大概就是，前期把基礎(chǔ)知識搞清楚，接下來就進(jìn)行信息收集，信息收集完只會就會涉及權(quán)限提升，權(quán)限可在前也可在后，我一般喜歡放在前面，自己權(quán)限足夠高才能更好的操作；接下來就是橫向滲透，知識點主要集中在這塊；接下來是權(quán)限維持，不過重點還是在前面橫向滲透，把前面橫向滲透搞清楚之后，權(quán)限維持也懂

域環(huán)境框架

別的所有設(shè)備都在一個網(wǎng)段，唯獨web服務(wù)器有兩個網(wǎng)段，不同的網(wǎng)段就是對外開發(fā)的網(wǎng)段，黑客攻擊的網(wǎng)段也是這個對外開放的，黑客通過對外的網(wǎng)段攻擊到計算機(jī)，由于內(nèi)網(wǎng)網(wǎng)段處于內(nèi)網(wǎng)的鏈接，又享有192.168.3.31的訪問的權(quán)限，可以針對內(nèi)網(wǎng)環(huán)境的一些主機(jī)進(jìn)行訪問，攻擊，首要攻擊目標(biāo)就是域控機(jī)dc。

這是單域的情況框架

案例一信息收集

信息收集包括：

信息收集的意義：判斷當(dāng)前服務(wù)器的操作系統(tǒng)以及版本，計算機(jī)的基本信息，為后續(xù)判斷服務(wù)器腳本和網(wǎng)絡(luò)環(huán)境做準(zhǔn)備，

旨在了解當(dāng)前服務(wù)器的計算機(jī)基本信息，為后續(xù)判斷服務(wù)器角色，網(wǎng)絡(luò)環(huán)境等做準(zhǔn)備

systeminfo 詳細(xì)信息

net start 啟動服務(wù)

tasklist 進(jìn)程列表

schtasks 計劃任務(wù)?

在執(zhí)行查看計劃任務(wù)的適合就提示出來權(quán)限不夠，這就是為什么要做提權(quán)操作，

案例二網(wǎng)絡(luò)信息收集操作演示

旨在了解當(dāng)前服務(wù)器的網(wǎng)絡(luò)接口信息，為判斷當(dāng)前角色，功能，網(wǎng)絡(luò)架構(gòu)做準(zhǔn)備

ipconfig /all 判斷存在域：根據(jù)是否有“主DNS后綴”一欄判斷是否存在域

net view /domain 判斷存在域：能成功返回說明存在域

net time /domain 判斷主域：會返回主域的時間，可以確定主域名，配合“nslookup”“ping”確定IP地址

netstat -ano 當(dāng)前網(wǎng)絡(luò)端口開放

nslookup 域名 追蹤來源地址?

最簡單的判斷是域的方法? ?ipconfi /all

看回顯這里，dns后綴有顯示，就是在域里面

我本機(jī)執(zhí)行就沒有，

net view /domain，判斷

看到回顯有信息版本就是有域

我本機(jī)就沒有

net time /domain? 判斷主域

net time是查看時間的意思，而加上/domain就是在域環(huán)境里面查看

出現(xiàn)了這個東西，前面輸入ipconfig /all有一個dns后綴叫g(shù)od.org

本機(jī)就沒有

域森林和父域子域概念,dns后綴是got.org，現(xiàn)在有兩個主機(jī)名字

這就出現(xiàn)了域森林，多余的型號，說明當(dāng)前環(huán)境存在多域

sqlserver.god.org

這個就是父域

xiaodi.sqlserver.god.org

這個就相當(dāng)于子域

為什么輸入那個查看時間判斷主域，因為域的時間一般都以域控制器為準(zhǔn)，所以獲取域時間，就會從域控上面獲取，而前面顯示的名字，就是域控的名字

這時候就可以利用nslockup 域控名字? 去查看ip

這個ip地址就是域控的ip

也可以直接去ping主機(jī)名在獲取到ip地址

netstak -ano

查看當(dāng)前主機(jī)開放端口

信息主要是為了判斷端口情況，為當(dāng)前角色，功能，框架做出準(zhǔn)備，知道當(dāng)前服務(wù)器是干嘛用的，比如前面看基本上我發(fā)現(xiàn)這臺主機(jī)的名字叫做webserver，webserver就是web服務(wù)器，這臺計算機(jī)服務(wù)器就是網(wǎng)站服務(wù)提供。

每個服務(wù)器的角色，就大概知道干嘛用的。通過知道角色可以判斷出來攻擊手法，比如是網(wǎng)站服務(wù)器主機(jī)就用web攻擊手段；自己的個人電腦，就不可能使用web攻擊手法，他連網(wǎng)站都沒有。

案例三用戶信息收集操作演示?

旨在了解當(dāng)前計算機(jī)或域環(huán)境下的用戶及用戶組信息，便于后期利用憑據(jù)進(jìn)行測試，系統(tǒng)默認(rèn)常見用戶身份（我們主要攻擊Domain Admains和Enterprise Admains，大部分成員主機(jī)在Domain users域用戶里）

Domain Admins：域管理員（默認(rèn)對域控制器有完全控制權(quán)）

Domain Computers：域內(nèi)機(jī)器

Domain Controllers：域控制器

Domain Guest：域訪客，權(quán)限低

Domain Users：域用戶

Enterprise Admins：企業(yè)系統(tǒng)管理員用戶（默認(rèn)對域控制器有完全控制權(quán)）

一般我們主要攻擊目標(biāo)就是Domain Admins：域管理員和Enterprise Admins：企業(yè)系統(tǒng)管理員用戶

而用戶一般都存放在Domain Users：域用戶

net user 本地用戶

在本地用戶一個普通用戶點計算機(jī)右鍵管理的時候，會彈窗要登錄adminsteast賬戶密碼次啊可以打開，而如果登錄管理用戶的就可以直接右鍵管理查看策略什么的信息

net user /domain 獲取域用戶信息?

net localgroup 本地用戶組

net group /domain 查看域里面用戶組

wmic useraccount get /all 涉及域用戶詳細(xì)信息

就相當(dāng)于知道了域里面的用戶名以及ip，假如有了域用戶的密碼就能進(jìn)行操作了，書記這個信息就是為了后續(xù)密碼賬戶攻擊做準(zhǔn)備，有了域用戶名就可以用密碼上面的攻擊套用上去進(jìn)行攻擊，爆破，

net group "Domain Admins" /domain 查詢域管理員賬戶

net group "Enterprise Admins" /domain 查詢管理員用戶組

net group "Domain Controllers" /domain 查詢域控制器?

案例四憑據(jù)信息收集操作演示

分為兩類，

計算機(jī)用戶的hash值，和明文的獲取，指的就是操作系統(tǒng)上的賬戶密碼信息，

mimikatz(爆破hash值的神器)，

imikatz下載：https://github.com/gentilkiwi/mimikatz/releases?

這個需要管理員權(quán)限運行才可以，所以為什么課程安排是先進(jìn)性提權(quán)，然后運行這個腳本，這個腳本有一個是免反彈式窗口的腳本，運行他就可以自動生成一個txt文件，里面就是運行后的結(jié)果，不用擔(dān)心會出現(xiàn)沒有反彈式窗口的情況

以管理員身份運行

之后就直接出來了明文密碼和hash值

linux版本的腳本，沒有mimiakatz好

mimipenguin下載：https://github.com/huntergregal/mimipenguin/releases/?

打開下載鏈接有他支持的部分版本

下載好解壓，直接運行腳本就會返回結(jié)果

計算機(jī)協(xié)議服務(wù)口令的獲取，

要收集的信息

1.站點源碼備份文件、數(shù)據(jù)庫備份文件等
2.各類數(shù)據(jù)庫 Web 管理入口，如PHPMyAdmin

3.瀏覽器保存密碼、瀏覽器 Cookies

4.其他用戶會話、3389 和 ipc$連接記錄、回收站內(nèi)容

5.Windows 保存的 WIFI 密碼

6.網(wǎng)絡(luò)內(nèi)部的各種帳號和密碼，如：Email、VPN、FTP、OA 等?

收集這些的作用：內(nèi)網(wǎng)的攻擊大部分都是建立在口令上的攻擊，而管理員設(shè)置的密碼都會有一定規(guī)矩，可能跟自己名字有關(guān)吧，就比如正常人的微信密碼和qq的肯定有相似，甚至一樣。內(nèi)網(wǎng)肯定有辦公電腦，有辦公電腦就有他個人信息在上面，

兩個利用工具；LaZagne(all)，XenArmor(win)?

LaZagne

這個要注意免殺，聽老師說就是改一下md5字符串就行

直接拖入命令行運行

選擇參數(shù)所有

但是有很多秘密都得不到，這里的解釋，就是這個腳本是給垃圾，只是支持面廣而已

下載：https://github.com/AlessandroZ/LaZagne （注意不能直接點擊運行會閃退，要在命令行里面運行）

XenArmor(win)?

國外軟件，價格40-50美元，網(wǎng)上可能有破解版，不過是老版

下載地址：https://xenarmor.com/allinone-password-recovery-pro-software/（瀏覽器、WiFi、FTP的密碼都可以發(fā)現(xiàn)）

這個收費的就是牛逼

什么密碼都翻出來了。連你忘了的密碼都有，就是這么牛逼，付費就是不一樣

獲取這么口令密碼的原因：這些口令密碼就能是我的字典，開了3389協(xié)議，用這個字典去測試能不能登錄，如果能登錄我就拿到了新的一臺內(nèi)網(wǎng)服務(wù)器權(quán)限，拿到了之后再繼續(xù)執(zhí)行這個事情，然后字典就更加全面，

案例五探針主機(jī)域控架構(gòu)服務(wù)操作演示

現(xiàn)在是一家把信息收集，收集好了，

探針域控制器以及地址信息

net time /domain，看到控制器的名字

nslookup? 控制器名 查看控制器的詳細(xì)信息

ping? 域控名? 獲取到ip

探針域內(nèi)存活（在線）主機(jī)及地址信息?

存活主機(jī)就是指在線的主機(jī)，

nbtscan 192.168.3.0/24 第三方工具（類似于nmup,但是會標(biāo)注域用戶名和dc）

---下載：http://unixwiz.net/tools/nbtscan.html?

（既不免殺，也老，還要下載）實在不怎么滴

好處就是會標(biāo)明域控，但是，這個第一步就已經(jīng)獲取了

for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.3.%I | findstr "TTL="（用for循環(huán)去ping1-254網(wǎng)段的主機(jī)，這是自帶內(nèi)部命令，不會被殺毒軟件攔截）

不用擔(dān)心掃描被殺

其它探針方式如：

nmap（易攔截）、masscan、第三方PowerShell腳本（windows的腳本開發(fā)語言）、nishang（推薦）、empire（推薦）等?

PowerShell是windows上面的一個語言，和cmd差不多的，可以實現(xiàn)在windows實現(xiàn)功能開發(fā)語言，實現(xiàn)一些功能，攻擊者就利用這個自己寫一個PowerShell的腳本去攻擊，

Nishang下載： https://github.com/samratashok/nishang?

第一步導(dǎo)入模塊，Import-Module .\nishang.psm1

如果導(dǎo)入不了，就設(shè)置一個執(zhí)行策略

Set-ExecutionPolicy RemoteSigned?

設(shè)置完之后點y就行

Get-Command -Module nishang???? 獲取模塊nishang的命令函數(shù)（有很多命令函數(shù)分別執(zhí)行不同功能，比如以下命令）

Get-information???????????? 獲取常規(guī)計算機(jī)信息

組，用戶，密碼，域，目錄什么的都收集好了

Invoke-Mimikatz???????????? 獲取計算機(jī)用戶名密碼

調(diào)用一下這個mimikatz參數(shù)

和執(zhí)行mimikatz得到的一模一樣

Invoke-Portscan -startaddress 192.168.3.0 -Endaddress 192.168.3.100 -ResolveHost -ScanPort? 端口掃描（查看目錄對應(yīng)文件有演示語法，其他同理）

真的牛逼，根據(jù)名字在判斷每個電腦的角色，有些設(shè)置了權(quán)限會出現(xiàn)訪問不了，提權(quán)提到系統(tǒng)權(quán)限，就能突破這個限制，就不收用戶的限制，

其他的功能：刪除補(bǔ)丁，反彈shell，憑據(jù)獲取

• 利用開放端口服務(wù)及計算機(jī)名判斷

• 核心業(yè)務(wù)機(jī)器：
  • 1.高級管理人員，系統(tǒng)管理員，財務(wù)/人事、業(yè)務(wù)人員的個人計算機(jī)
  • 2.產(chǎn)品管理系統(tǒng)服務(wù)器
  • 3.辦公系統(tǒng)服務(wù)器
  • 4.財務(wù)應(yīng)用系統(tǒng)服務(wù)器
  • 5.核心產(chǎn)品源碼服務(wù)器
  • 6.數(shù)據(jù)庫服務(wù)器
  • 7.文件或者網(wǎng)盤服務(wù)器
  • 8.電子郵件服務(wù)器
  • 9.網(wǎng)絡(luò)監(jiān)控系統(tǒng)服務(wù)器
  • 10.其他服務(wù)器（內(nèi)部技術(shù)文檔服務(wù)器，其他監(jiān)控服務(wù)器）

當(dāng)前滲透成功的角色基本上可以確定能不能滲透成功的概率。

fa

cai文章來源地址http://www.zghlxwxcb.cn/news/detail-779035.html

到了這里，關(guān)于65內(nèi)網(wǎng)安全-域環(huán)境&工作組&局域網(wǎng)探針的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！