內網滲透-基礎知識&信息收集

內網概述:

內網也指局域網(Local Area Network,LAN).是指在某一區域內由多台計算機互聯成的計算機組。

一般是方圓幾千米以內。局域網可以實現文件管理，應用軟件共享，打印機共享，工作組內的歷程安排，電子郵件和傳真通信服務等功能

工作組（Work Group）:

這個概念是為了解決單位內成百上千台電腦互相連接組成的局域網中尋找某台電腦很困難的問題，將不同的電腦按功能（或者部門）分別列入不同的工作組中。

域(Domain):

域是一個有安全邊界的計算機集合（安全邊界意思是在兩個域中一個域中的用戶無法訪問另一個域內的資源），相比工作組而言，更加便於統一管理，更加安全。

域控制器(Domain Controller 簡寫為DC)

是一個域中的一台類似管理服務器的計算機，相當於門衛，拿下它就相當於拿下了整個域內所有計算機

活動目錄(Active Directory 簡寫為AD):

是域環境中提供目錄服務的組件。如果將企業的內網看成字典，內網里的資源就是字典的內容，

AD就相當於是字典的索引

典型域拓撲:

 

 

 

 

DMZ(Demilitarized Zone)隔離區:

它是為了解決安裝防火牆后外部網絡的訪問用戶不能訪問內部網絡服務器的問題，而設立的一個非安全系統與安全系統之間的緩沖區。該緩沖區位於企業內部網絡和外部網絡之間的小網絡區域內。在這個小網絡區域內可以放置一些必須公開的服務器設施，如企業Web服務器、FTP服務器和論壇等。另一方面，通過這樣一個DMZ區域，更加有效地保護了內部網絡。因為這種網絡部署，比起一般的防火牆方案，對來自外網的攻擊者來說又多了一道關卡。

 

 

 

單域:

小公司里一個域就可以滿足所需，但是至少要有兩個域服務器，一個作為DC，一個作為備份DC

父域和子域:

出於管理等需求，需要在網絡中划分多個域，第一個域稱為父域，各分公司的域稱為該域的子域。

域樹，域森林:

 

 

 

域樹指若干個域通過建立信任關系組成的集合。兩個域之間相互訪問需要建立信任關系。

 

 

 

 

 

信息收集:

一.基本的信息收集操作

為了了解當前計算機基本信息，為后續判斷服務器角色，網絡環境等做准備

相關命令:

systeminfo 詳細信息

net start 啟動服務

tasklist 進程列表

schtasks 計划任務

二.網絡信息收集操作

為了了解當前服務器的網絡接口信息，為判斷當前角色，功能，網絡架構做准備

相關命令:

ipconfig /all 通過主DNS處-判斷是否存在域,

net view /domain 判斷存在域

net time /domain 判斷主域

netstat -ano 查看當前網絡端口開放情況

nslookup 域名 追蹤來源地址

三.用戶信息收集操作

為了了解當前計算機或域環境下的用戶及用戶組信息，便於后期利用憑據進行測試

系統默認常見用戶身份:

Domain Admins:域管理員（默認對域控制器有完全控制權）

Domain Controllers:域控制器

Domain Guest:域訪客，權限低

Domain Users:域用戶

Enterprise Admins:企業系統管理員用戶（默認對域控制器有完全控制權）

相關用戶收集操作命令:

whoami /all 用戶權限

net config workstation 登錄信息

net user 本地用戶

net localgroup 本地用戶組

net user /domain 獲取域用戶信息

net group /domain 獲取域用戶組信息

wmic useraccount get /all 涉及域用戶詳細信息

net group "Domain Admins" /domain 查詢域管理員賬戶

net group "Enterprise Admins" /domain 查詢管理員用戶組

net group "Domain Controllers" /domain 查詢域控制器

四.憑據信息收集

為了收集各種密文，明文，口令等，為后續橫向滲透做好測試准備

神器:

windows平台下的mimikatz

https://github.com/gentilkiwi/mimikatz/

linux平台下的mimipenguin

https://github.com/huntergregal/mimipenguin

計算機各種服務口令獲取

windows下的XenArmor,很強大，但是收費

全平台的LaZagne,挺雞肋，但是免費

五.探針主機域控架構服務

為后續橫向滲透做准備，針對應用，協議等各類攻擊手法

探針域控制器名及地址信息

net time /domain nslookup ping

探針域內存活主機及地址信息

第三方工具: nbtscan 192.168.3.0/24

不推薦，因為需要免殺等原因

第三方工具:nmap masscan Powershell滲透框架NiShang empire等

一句話命令

for /L %I in (1,1,254) DO @ping -w -n 1 192.168.3.%I |findstr "TTL="

基於PowerShell的滲透測試框架Nishang的使用

#設置執行策略

Set-ExecutionPolicy RemoteSigned

#導入模塊

Import-Module .\nishang.psml

#獲取模塊nishang的命令函數

Get-Command -Module nishang

#獲取常規計算機信息

Get-Information

#端口掃描（查看目錄對應文件有演示語法，其他同理）

Invoke-PortScan -StartAddress 192.168.3.0 -EndAddress

192.168.3.100 -ResolveHost -ScanPort

#其他功能：刪除補丁，反彈shell，憑據獲取等