前言
前段時間讀了讀徐哥的《內網安全攻防》,並復現了部分知識點,寫篇文章記錄下學習內容。
環境搭建
首先搭建一個小型的域環境供我們測試使用:
域環境拓撲圖:
下面先介紹一下環境搭建的過程
配置域控
首先進入域控機,設置固定IP:192.168.1.1
子網掩碼:255.255.255.0
設置計算機名:DomainControl
接下來安裝作為域控制器(DNS服務器)所必需的服務
開始之前保持默認
安裝類型選擇基於角色或基於功能的安裝
服務器選擇:選擇從服務器池中選擇服務器並選擇本機
選擇服務器角色:選擇DNS服務器和Active Directory域服務
功能:保持默認
Active Directory域服務:保持默認
DNS服務器:保持默認
確認:選擇如果需要,自動重新啟動服務器
接下來點擊安裝
在儀表盤的黃色感嘆號中選擇將此服務器提升為域控制器
部署配置:選擇添加新林並在根域名中輸入haixian.test
域控制器選項:輸入還原模式密碼
DNS選項:可能會報警告,忽略即可
剩下的步驟全部保持默認即可,點擊安裝
接下來為成員機創建域控制器賬戶
WIN+R->輸入dsa.msc->選擇User目錄並單擊右鍵新建一個用戶,如圖
接下來配置兩台成員機加入域
配置成員機
配置win server2008 IP:192.168.1.2
子網掩碼:255.255.255.0
配置隸屬域
注意這里輸入的賬戶密碼是域控的管理員賬號密碼
若前面的配置的沒有問題,那么此時的win server2008已經成功地加入了haixian.test這個域
接下來WIN7 的設置大同小異,不再贅述,注意IP設置為192.168.1.3即可
在域內任意主機的CMD中輸入
net view /domain:haixian
出現如圖所示回顯即說明域環境搭建成功
(PS:若命令報6118錯誤可以嘗試關閉防火牆)
信息收集
當我們成功的取得了域中某一主機的權限后,面對的是一個完全未知的域環境,要想進行下一步的滲透就必須要盡可能地獲得有關於此域的信息,而這些信息就是整個內網滲透的基礎;
在信息收集階段,滲透測試人員通常要解決如下三個問題:
本機角色是什么?
例如web服務器,備份服務器等
本機所在內網的拓撲圖?
對已獲得權限主機所處內網的拓撲環境進行分析和判斷,盡可能詳細的繪制出網絡拓撲圖
本機所在區域?
例如辦公區,核心區等
本次信息收集測試假設已經取得了成員機win2008管理員權限
本機信息收集
手動命令收集信息
1.網絡配置信息
ipconfig /all
2.查詢操作系統及軟件信息
查看操作系統以及版本
systeminfo | findstr /B /C:"OS 名稱" /C:"OS 版本"
查看系統體系結構
echo %PROCESSOR_ARCHITECTURE%
查看安裝的軟件及其版本、路徑等
wmic product get name,version
或者
powershell "Get-WmiObject -class Win32_Product |Select-Object -Property name,version"
3.查詢本機信息
wmic service list brief
4.查詢正在運行的進程
tasklist
5.查看開機自啟的程序信息
wmic startup get command,caption
6.查看計划任務
schtasks /query
如果這里運行命令報錯的話輸入
chcp 437
調整下CMD編碼為美國編碼即可
7.查看主機開機時間
net statistics workstation
8.查看用戶列表
net user
9.查看本地管理員用戶組
net localgroup Administrators
10.查看當前在線用戶
query user || qwinsta
11.列出本地計算機與所連接的客戶端的會話
net session
12.查詢端口列表
netstat -ano
13.查看本機補丁
systeminfo
或者
wmic qfe get Caption,Description,HotFixID
14.查看共享列表
net share
或者
wmic share get name,path,status
15.查詢路由表及所有可用接口的API緩存表
route print
apr -a
16.查看防火牆相關配置
netsh firewall show config
17.查看系統代理
reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"
18.查看並開啟遠程桌面連接服務
查看:
REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /V PortNumber
開啟:
wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TerminalServiceSetting WHERE (__CLASS !="") CALL SetAllowTSConnections 1
利用腳本自動化收集信息
1.在命令行中運行bat腳本,生成結果out.html
out.html:
查看當前會話權限
1.我是誰?
whoami
可以看到當前會話權限為管理員administrator
2.獲取域SID
whoami /all
3.查看指定用戶的詳細信息
net user 用戶名
域有關信息收集
1.判斷是否存在域環境
net config workstation
2.判斷主域
net time /domain
注意這條命令只適用於當前登錄的用戶是域用戶的情況下
可以看到主域就是haixian.test
3.查詢域內用戶列表
net group /domain
4.查詢所有域成員(主機)
net group "domain computers" /domain
5.獲取域內密碼設置規則
net accounts /domain
6.獲取域內信任信息
nltest /domain_trusts
7.查找域控
nltest /DCLIST:test
或者
net time /domain
或者
Nslookup -type=SRV _ldap._tcp
或者
net group "Domain Controllers" /domain
或者
netdom query pdc
8.獲取域內用戶與管理員信息
查詢本地管理員組用戶
net localgroup administrators
查詢所有用戶詳細信息
wmic useraccount get /all
查詢域管理員用戶組
net group "domain admins" /domain
查詢管理員用戶組
net group "Enterprise Admins" /domain
8.定位域管
在取得了域中的普通權限后,想要進行橫向移動,就一定要知道域用戶所登陸的位置以及相對應的權限,能夠定位域用戶的工具有許多,這里介紹兩種
(1).psloggedon.exe
下載地址:https://docs.microsoft.com/zh-cn/sysinternals/downloads/psloggedon
psloggedon.exe \\主機名
這條命令可以查看目標主機上正在登錄的用戶並可以列出他們的身份
(2).Netview
下載地址:https://github.com/mubix/netview/releases/tag/latest
Netview是一個枚舉工具,可以枚舉共享,用戶等信息
netview.exe -d
探測域內其他主機信息
1.利用nbtscan掃描內網(工具需下載)
進入工具所在目錄后
nbtscan.exe 192.168.1.1/24
2.利用ping命令探測內網
for /L %I in (1,1,5) DO @ping -w 1 -n 1 192.168.1.%I | findstr "TTL"
這個方法探測比較慢,所以這里就設置了5個IP意思意思。。。
3.使用ARP探測內網(工具需要自己下載)
arp-scan -t 192.168.1.1/24
4.使用telnet掃描端口
telnet 192.168.1.3 22
5.使用MSF進行端口掃描
search scanner/portscan/tcp
use 0
show options
set port 1-1000
set rhosts 192.168.1.1
set threads 10
run
這里因為是實驗演示所以就選了1-1000端口
以上就是初入內網時對本機,域內其他主機,本機用戶,域內用戶各方面信息的收集方法,若有遺漏還望過路大佬補充
寫在后面
下一篇文章講隱藏通信隧道技術,敬請期待~
參考資料:《內網安全攻防:滲透測試指南》 徐焱、賈曉璐