內(nèi)網(wǎng)分布圖

DMZ同于存放不得不給外網(wǎng)訪問的設(shè)備，與內(nèi)網(wǎng)獨立區(qū)分開，中間有一道防火墻，因此攻破web服務(wù)器并提權(quán)并不代表攻破了內(nèi)網(wǎng)，還需要一系列操作才能攻到內(nèi)網(wǎng)。當然，有部分公司的內(nèi)網(wǎng)就處于web服務(wù)器，這樣攻擊成功web服務(wù)器就相當于攻擊內(nèi)網(wǎng)。

內(nèi)網(wǎng)基本概念

局域網(wǎng)：
局域網(wǎng)（Local Area Network, LAN），又稱內(nèi)網(wǎng)，是指在某一區(qū)域內(nèi)由多臺計算機互聯(lián)成的計算機組。嚴格來說是封閉型的，不與外網(wǎng)連接。

工作組：
在一個網(wǎng)絡(luò)內(nèi)，可能有成百上千臺電腦，如果這些電腦不進行分組，都列在“網(wǎng)上鄰居”內(nèi)，可想而知會有多么亂。為了解決這一問題，早在Windows 9x/NT/2008就引用了“工作組”這個概念，將不同的電腦一般按功能分別列入不同的組中，如財務(wù)部的電腦都列入“財務(wù)部”工作組中，人事部的電腦都列入“人事部”工作組中。你要訪問某個部門的資源，就在“網(wǎng)上鄰居”里找到那個部門的工作組名，雙擊就可以看到那個部門的電腦了。

域環(huán)境：
與工作組的“松散會員制”有所不同，“域”是一個相對嚴格的組織?！坝颉敝傅氖欠?wù)器控制網(wǎng)絡(luò)上的計算機能否加入的計算機組合。
實行嚴格的管理對網(wǎng)絡(luò)安全是非常必要的。在對等網(wǎng)模式下，任何一臺電腦只要接入網(wǎng)絡(luò)，就可以訪問共享資源，如共享ISDN上網(wǎng)等。盡管對等網(wǎng)絡(luò)上的共享文件可以加訪問密碼，但是非常容易被破解。在由Windows 9x構(gòu)成的對等網(wǎng)中，數(shù)據(jù)是非常不安全的。
在“域”模式下，至少有一臺服務(wù)器負責(zé)每一臺聯(lián)入網(wǎng)絡(luò)的電腦和用戶的驗證工作，相當于一個單位的門衛(wèi)一樣，稱為“域控制器（Domain Controller，簡寫為DC）”?！坝蚩刂破鳌敝邪擞蛇@個域的賬戶、密碼、屬于這個域的計算機等信息構(gòu)成的數(shù)據(jù)庫。當電腦聯(lián)入網(wǎng)絡(luò)時，域控制器首先要鑒別這臺電腦是否是屬于這個域的，用戶使用的登錄賬號是否存在、密碼是否正確。如果以上信息不正確，域控制器就拒絕這個用戶從這臺電腦登錄。不能登錄，用戶就不能訪問服務(wù)器上有權(quán)限保護的資源，只能以對等網(wǎng)用戶的方式訪問Windows共享出來的資源，這樣就一定程度上保護了網(wǎng)絡(luò)上的資源。
一般情況下，域控制器集成了DNS服務(wù)，可以解析域內(nèi)的計算機名稱（基于TCP/IP），解決了工作組環(huán)境不同網(wǎng)段計算機不能使用計算機名互訪的問題。
想把一臺電腦加入域，僅僅使它和服務(wù)器在“網(wǎng)上鄰居”能夠相互看到是遠遠不夠的，必須要由網(wǎng)絡(luò)管理員進行把這臺電腦加入域的相關(guān)操作。

域控制器DC：
域控制器（Domain Controller，DC）是一臺服務(wù)器，管理網(wǎng)絡(luò)和身份安全，有效地充當用戶驗證和授權(quán)進入域內(nèi) IT 資源的門衛(wèi)。域控制器在微軟目錄服務(wù)術(shù)語中尤其重要，作為驗證 Windows 用戶身份的主要方式，以便讓他們訪問 Windows 系統(tǒng)、應(yīng)用程序、文件服務(wù)器和網(wǎng)絡(luò)。它們還托管 Active Directory 服務(wù)。

活動目錄（Active Directory）（AD）：
是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目錄服務(wù)。（Active Directory不能運行在Windows Web Server上，但是可以通過它對運行Windows Web Server的計算機進行管理。）
Active Directory存儲了有關(guān)網(wǎng)絡(luò)對象的信息，并且讓管理員和用戶能夠輕松地查找和使用這些信息。Active Directory使用了一種結(jié)構(gòu)化的數(shù)據(jù)存儲方式，并以此作為基礎(chǔ)對目錄信息進行合乎邏輯的分層組織。

工作組和域環(huán)境的優(yōu)缺點

工作組優(yōu)勢在于對中小型局域網(wǎng)，可以快速的進行分組并通過網(wǎng)上鄰居發(fā)現(xiàn)并輸入用戶名和密碼憑證來進行簡單的資源共享，打印共享等服務(wù)，操作簡單。劣勢就是每一臺計算機都是獨立的個體，難以實現(xiàn)統(tǒng)一的管理和身份的驗證。而域環(huán)境就能解決工作組存在的這一個痛點，通過對用戶權(quán)限以及組策略的限制實現(xiàn)，從而實現(xiàn)對每臺計算機的管理。

內(nèi)網(wǎng)常用命令

net user ------> 本機用戶列表
net localhroup administrators ------> 本機管理員[通常含有域用戶]
net user /domain ------> 查詢域用戶
net group /domain ------> 查詢域里面的工作組
net group “domain admins” /domain ------> 查詢域管理員用戶組
net localgroup administrators /domain ------> 登錄本機的域管理員
net localgroup administrators workgroup\user001 /add ----->域用戶添加到本機
net group “Domain controllers” -------> 查看域控制器(如果有多臺)
ipconfig /all ------> 查詢本機IP段，所在域等
net view ------> 查詢同一域內(nèi)機器列表
net view /domain ------> 查詢域列表
net view /domain:domainname -----> 查看workgroup域中計算機列表

域的分類

單域

例如主公司和子公司都獨自形成了一個域環(huán)境，稱為單域，由此延伸出父域和子域。

父域和子域

父域可以管理子域。

域數(shù)和域森林

域的框架結(jié)構(gòu)，很多分支形成了域森林。（字面意思）

Linux域滲透問題

由于AD控制器只能在win server上運行，所以大部分內(nèi)網(wǎng)使用的都是Windows系統(tǒng)，Linux系統(tǒng)也可以使用LDAP環(huán)境才能使用對應(yīng)的目錄，且LDAP沒有域好用。

內(nèi)網(wǎng)安全流程

基本概念搞清楚->信息收集（存活主機，域控制器，網(wǎng)絡(luò)架構(gòu)，服務(wù)接口）->權(quán)限提升（能做的事情多了才能滲透內(nèi)網(wǎng)時進行更多操作）->橫向滲透（核心）->權(quán)限維持（為了后續(xù)利用）
注：權(quán)限提升和橫向滲透可以調(diào)換步驟，兩種思路，這種是先進內(nèi)網(wǎng)主機再提權(quán)

小迪演示環(huán)境

fileserver:文件服務(wù)器
sqlserver:數(shù)據(jù)庫服務(wù)器
webserver：網(wǎng)站服務(wù)器
剩下的是個人電腦
注：屬于單域環(huán)境

信息收集

收集計算機版本任務(wù)服務(wù)
sysinfo：詳細信息
net start：啟動服務(wù)
tasklist：進程列表
schtasks：計劃任務(wù)
網(wǎng)絡(luò)信息：
ipconfig /all：判斷存在域–dns（看主DNS后綴有沒有數(shù)據(jù)）

net view /domain：判斷存在域(有無信息返回)

net time /domain：判斷主域（在域環(huán)境判斷當前時間）(返回的OWA2010…是域控制器名)

netstat -ano：當前網(wǎng)絡(luò)端口開放
nslookup：域名，追蹤來源地址

用戶信息：
系統(tǒng)默認常見用戶：

Domain Admins：域管理員
Domain computers：域內(nèi)機器
Domain controllers：域控制器
Domain guest：域訪客，權(quán)限低
Domain user：域用戶
Enterprise Admins：企業(yè)系統(tǒng)管理員用戶（對域控制器有完全控制權(quán)）

相關(guān)用戶收集操作命令：

whoami /all 用戶權(quán)限
net config workstation 登錄信息
net user 本地用戶
net localgroup 本地用戶組
net user /domain 獲取域用戶信息
net group /domain 獲取域用戶組信息
wmic useraccount get /all 涉及域用戶詳細信息
net group “Domain Admins” /domain 查詢域管理員賬戶
net group “Enterprise Admins” /domain 查詢管理員用戶組
net group “Domain Controllers” /domain 查詢域控制器

收集這些信息用于后續(xù)判斷服務(wù)器角色，網(wǎng)絡(luò)環(huán)境等做準備

注：有些命令會被域控制器攔截而無法運行，因此要提權(quán)到system權(quán)限，突破域控制器限制

mimikatz

使用該工具可以將用戶密碼的hash值和明文輸出出來。（必須要高權(quán)限才能運行）

Lazagne(all)

支持Linux和Windows兩種操作系統(tǒng)的腳本，運行可以爬取各類服務(wù)信息（WiFi）和密碼

憑據(jù)信息政集操作演示

旨在收集各種密文，明文，口令等，為后續(xù)橫向滲選做好測試準備
計算機用戶#AS8，明文獲取-mimixatz(xin)，mimipenguin(1inux)
計算機各種協(xié)議服務(wù)口令獲取-Lazagne(all)，XenAzmer(win)
Netsh WLAN show profiles
Netah WLAN shox profile name="無線名稱” key=clear
1.站點源碼備份文件、數(shù)據(jù)庫備份文件尊
2.各類數(shù)據(jù)庫web管現(xiàn)入口，如PHPMyAdmin
3.瀏覽器保存密碼、瀏覽器ceoxiea
4.其他用戶會話、3389和ipes連接記錄、回收站內(nèi)容
5.windowa 保存的NIFI密碼
6.網(wǎng)絡(luò)內(nèi)部的各種帳號和醫(yī)碼，如:Emai1、vPN、FTP、OA

探針主機域控架構(gòu)服務(wù)操作演示

為后續(xù)機向思路做準備，針對應(yīng)用，協(xié)議等各類攻擊手法

探針域控制器名及地址信息
net time /domain nslookup ping

探針城內(nèi)存活主機及地址信息
nbtscan 192.168.3.0/24第三方工具
for /L %I in (1, 1, 254) DO @ping -w 1 -n 1 192.168.3.%I | findstr “TTL=” 產(chǎn)品自帶命令

nmap masscan 第三方PowerShell腳本nishang empire等

導(dǎo)入模塊nishang
Import-Module .\nishang.psm1

設(shè)置執(zhí)行策略
Set-Executionpolicy Remotesigned

獲取模塊nishang的命令的數(shù)
Get-Command -Module nishang

獲取常規(guī)計算機信息
Get-Information

端口掃描(查看目錄對應(yīng)文件有演示語法，其他同理)
Invoke-PoxtScan -StaxtAddress 192.168.3.0 -EndAddress 192.168.3.100 -ResolveHost -ScanPort

其他功能:刪除補丁，反彈she11，憑據(jù)獲取等
探針城內(nèi)主機角色及服務(wù)信息
利用開放端口服務(wù)及計算機名判斷

核心業(yè)務(wù)機器:
1.高級管理人員、系統(tǒng)管理員、財務(wù)/人事/業(yè)務(wù)人員的個人計算機
2.產(chǎn)品管理系統(tǒng)服務(wù)器

總結(jié)

本文主要講解內(nèi)網(wǎng)常見名詞概念和信息收集的方式方法，為接下來的內(nèi)網(wǎng)滲透做前提準備，一個好的信息收集可以讓滲透事半功倍。文章來源地址http://www.zghlxwxcb.cn/news/detail-843823.html

到了這里，關(guān)于小迪學(xué)習(xí)筆記（內(nèi)網(wǎng)安全）（常見概念和信息收集）的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！