思維導圖
一 基本認知
DMZ:
- 英文全名“Demilitarized Zone”,中文含義是“隔離區”,在安全領域的具體含義是“內外網防火牆之間的區域”。DMZ區是一個緩沖區,在DMZ區存放着一些公共服務器,比如論壇等。
工作組 VS 域環境
- 工作組:地位平等,管理分散,沒有集中管理。
- 域環境:地位不平等,管理集中,實現集中管理。
- 域環境也可以簡單的理解為工作組的升級版,更好管理。
- 這里我們把域環境和工作組區分開來是因為他們的攻擊手段不同,工作組中的攻擊手法如DNS劫持、ARP欺騙在域環境下是沒有作用的。有一些攻擊手段需要一些條件,這些條件在域環境下沒有,相應的攻擊手段就會失效。
域控制器DC:
- 域控DC是這個域中的管理者,域里面的最高權限,判斷是否拿下整個域,就是看你是否拿下這台域控制器。
AD(活動目錄):
- 是微軟所提供的目錄服務(查詢,身份驗證),活動目錄的核心包含了活動目錄數據庫,在活動目錄數據庫中包含了域中所有的對象(用戶,計算機,組…),活動目錄(Active Directory)是面向Windows Standard Server、Windows Enterprise Server 以及Windows Datacenter Server的目錄服務。Active Directory儲存了有關網絡對象的信息,並且讓管理員和用戶能夠輕松的查找和使用這些信息,Active Directory使用了一種結構化的數據儲存方式,並以此作為基礎對目錄信息進行合乎邏輯的分層組織。
linux域滲透問題:
- Q:AD域控制器只在windows server系統能做嗎?Linux可以?
- A:linux上也有相應的活動目錄的,不過要裝LDAP環境,一般企很少會用LDAP來管理的,因為功能上不及域強大,而且用linux來管理的話要求技術人員門檻也比較高,個人認為Linux還是比較適合做服務器好一點。(就是說Linux上面的域環境需要環境支撐,而且功能沒有windows上的域強大,所以大部分我們遇見的都是windows,這也是沒有Linux的原因。當然,Linux這個操作系統也是可以加入域的,比如域內有Linux的操作系統,有Linux的服務器也行,只是很少)
局域網技術適用問題:
- 不同的攻擊技術手段適用面不同,這個我們要有所了解,比如arp欺騙適用於局域網,而不適用於域。
大概內網安全流程問題:
- 熟悉基礎概念-信息收集-后續探針-權限提升-橫向滲透-權限維持
二 案例演示
本課重點
- 案例1:基本信息收集操作演示
- 案例2:網絡信息收集操作演示
- 案例3:用戶信息收集操作演示
- 案例4:憑據信息收集操作演示
- 案例5:探針主機域控架構服務操作演示
環境介紹
下圖屬於單域環境,Windows2008R2作為域控DC,有五個域成員主機,fileserver文件服務器、SqlServer數據庫服務器、webserver網站服務器和兩台個人PC。他們都是在192.168.3.0這個網段,網站服務器有兩個網卡,一個在3.31一個在230.131,這個230.133就好比是它的一個對外出口(外網接口),kali攻擊機就好比攻擊者,它通過230.131這個接口進入網站服務器計算機,由於這台計算機是處於內網連接,所有它享有3這個網段的訪問權限。拿下網站服務器后的首要攻擊目標就是DC!只要拿下DC,也就相當於同時拿下了所有域成員主機權限。
案例1:基本信息收集操作演示
旨在了解當前服務器的計算機基本信息,為后續判斷服務器角色,網絡環境等做准備。
服務器角色就是這台服務器是干嘛的,它在內網中扮演什么角色,比如mary-pc就是個人辦公電腦,SqlServer就是數據庫服務器,每台服務器都是有一個角色的,是僅僅個人用,還是用來文件傳輸?用來dns解析?
假設已經拿下了一台內網服務器webserver:
systeminfo 詳細信息(操作系統版本、補丁編號等信息) net start 啟動服務(查看當前主機開啟了哪些服務,從服務中就可以判斷它是什么角色) tasklist 進程列表(查看當前主機開啟了哪些進程) schtasks 計划任務(若報錯無法加載列資源,說明你的權限不夠,因此要提權才能使用該命令)
案例2:網絡信息收集操作演示
旨在了解當前服務器的網絡接口信息,為判斷當前角色,功能,網絡架構做准備
ipconfig /all 判斷存在域-最簡單方式查看主DNS后綴 net view /domain 判斷存在域 net time /domain 判斷主域(主域就是域控的意思)【在域環境下查看當前時間】 nslookup <域控制器全名> 追蹤來源地址 netstat -ano 當前網絡端口開放
<1>ipconfig /all 查看主DNS后綴,這就是當前最簡單最直接判斷當前服務器是域環境還是單純的工作組局域網環境!有域的話會有主DNS,因為在域環境里面通常會由DNS解析服務器。這是第一個判斷標准。
<2>net view /domain 判斷存在域
<3>net time /domain 判斷主域(主域就是域控的意思)【在域環境下查看當前時間】
net time /domain 可以判斷主域,是因為域成員計算機的時間一般會以域控制器為准,所以當執行net time /domain命令時,該計算機會去域控獲取時間,此時返回的OWA2010CN-God.god.org就是域控的計算機全名。然后可以通過nslookup來最終確認域控IP。
每一台計算機名字都是基於域名下面生成的(如SqlServer.god.org),另外,如果找到了god.org、sqlserver.god.org、xiaodi.sqlserver.god.org之類的計算機全名,說明當前環境存在多域,sqlserver.god.org是父域,xiaodi.sqlserver.god.org是子域。
<4>nslookup <域控制器全名> 追蹤來源地址
OWA2010CN-God.god.org就是域控的計算機全名,我們可以通過nslookup和ping命令去ping這個名字來獲取域控的對應ip地址。
<5>netstat -ano 查看當前網絡端口開放
案例3:用戶信息收集操作演示
旨在了解當前計算機或域環境下的用戶及用戶組信息,便於后期利用憑據進行測試
系統默認常見用戶身份:
Domain Admains:域管理員(默認對域控制器有完全控制權) Domain Computers:域內機器 Domain Controllers:域控制器 Domain Guest:域訪客,權限低 Domain users:域用戶 Enterprise Admains:企業系統管理員用戶(默認對域控有完整控制權) 我們主要攻擊Domain Admains和Enterprise Admains 大部分成員主機在Domain users域用戶里
相關用戶收集操作命令:
whoami /all 用戶權限 net config workstation 登錄信息 net user 當前電腦里面的用戶(本地用戶) net localgroup 本地用戶組 net user /domain 當前域里面的用戶 net group /domain 獲取域用戶組信息 wmic useraccount get /all 涉及域用戶詳細信息 net group "Domain Admins" /domain 查詢域管理員賬戶 net group "Enterprise Admins" /domain 查詢管理員用戶組 net group "Domain Controllers" /domain 查詢域控制器
收集用戶信息的作用:
- 先找到域用戶名,為后續進行密碼賬號的攻擊做准備,后續攻擊是可以用這些真實的用戶名套用密碼字典進行暴力破解,一旦找到對應的密碼就可以登錄計算機進行后續操作。看看用戶名在哪個組,我就有什么權限。
<1>net user 獲取當前電腦里面的用戶(本地用戶),對於本地用戶,當前計算機可通過用戶名密碼登錄。
net user /domain 獲取當前域里面的用戶,對於域用戶,當前計算機是否可登錄,受活動目錄限制,若權限不夠,是不能登錄的。
<2>net localgroup 本地用戶組
<3>net group /domain 獲取域用戶組信息
<4>wmic useraccount get /all 涉及域用戶詳細信息
<5>net group "Domain Admins" /domain 查詢域管理員賬戶
<6>net group "Domain users" /domain 查詢域用戶
案例4:憑據信息收集操作演示(非常重要)
旨在收集各種密文,明文,口令等,為后續橫向滲透做好測試准備
計算機用戶HASH,明文獲取 -mimikatz(win),mimipenguin(linux) 計算機各種協議服務口令獲取 -LaZagne(all,win&linux),XenArmor(win) Netsh WLAN show profiles //查詢所有連接過的wifi名稱 Netsh WLAN show profile name ="無線名稱" key =clear //查詢某wifi密碼 獲取憑據的方法: 1.站點源碼備份文件,數據庫備份文件等 2.各類數據庫WEB管理入口,如PHPmyadmin 3.瀏覽器保存密碼,瀏覽器cookies 4.其他用戶會話,3389和ipc$連接記錄,回收站內容 5.windows 保存的WIFI密碼 6.網絡內部的各種賬號和密碼,如:Email,VPN,FTP,OA等
人能夠記住的密碼有限,所以一般用戶習慣給很多網站、服務等設置相同的或者類似的密碼,所以當你找到了一個密碼,其他密碼很有可能被猜解到。
1、獲取計算機用戶名密碼 mimikatz & mimipenguin
- mimikatz下載:https://github.com/gentilkiwi/mimikatz/releases
- mimipenguin下載:https://github.com/huntergregal/mimipenguin/releases/
新版mimikatz貌似運行有問題,下面是舊版運行結果,獲取到了明文密碼。注意:mimikatz運行需要域管理員權限,域用戶無法運行,因為權限不夠。
同樣,mimipenguin運行需要root權限,普通用戶無法運行。
2、獲取計算機各種協議服務口令 LaZagne(all,win&linux) & XenArmor(win)
LaZagne
- 優點:免費;自動化腳本;支持win&linux
- 缺點:很多密碼都獲取不到,不好用
- 下載:https://github.com/AlessandroZ/LaZagne
XenArmor
- 國外軟件,價格40-50美元,網上可能有破解版,不過是老版
這兩個軟件主要是通過自動化翻找以下內容,從而獲取憑據。
- 1.站點源碼備份文件,數據庫備份文件等
- 2.各類數據庫WEB管理入口,如PHPmyadmin
- 3.瀏覽器保存密碼,瀏覽器cookies
- 4.其他用戶會話,3389和ipc$連接記錄,回收站內容
- 5.windows 保存的WIFI密碼
- 6.網絡內部的各種賬號和密碼,如:Email,VPN,FTP,OA等
案例5-探針主機域控架構服務操作演示
為后續橫向思路做准備,針對應用,協議等各類攻擊手法
1、探針域控制器名及地址信息 net time /domain nslookup <域控名稱> ping <域控名稱> 2、探針域內存活主機及地址信息 nbtscan 192.168.3.0/24 第三方工具(老牌工具,說實在沒必要用這個工具,不強大!不免殺!) for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.3.%I | findstr "TTL =" 自帶內部命令(推薦使用) 其他:nmap,masscan,第三方Powershell腳本nishang、empire等(個人喜歡NiShang)
nbtscan下載:http://unixwiz.net/tools/nbtscan.html
NiShang簡介:
Powershell用於滲透測試其實早在多年前就已經被提出了。利用Powershell,攻擊者可以在無需接觸磁盤的情況下執行命令等,並且相較已經被大家廣泛關注並防御的Cmd而言,Powershell並非那么的引人矚目。Nishang是基於PowerShell的滲透測試專用工具。它集成了框架、腳本和各種payload,能夠幫助滲透測試人員在對Windows目標的全過程檢測中使用,是一款來源於作者實戰經歷的智慧結晶。(類似於MSF)
<1>下載NiShang:https://github.com/samratashok/nishang <2>進入目錄,執行以下命令 Import-Module .\nishang.psml 導入模塊nishang set-ExecutionPolicy RemoteSigned 設置執行策略 Get-Command -Module nishang 獲取模塊nishang的命令函數(有很多命令函數分別執行不同功能,比如以下命令) Get-information 獲取常規計算機信息 Invoke-Mimikatz 獲取計算機用戶名密碼 Invoke-Portscan -startaddress 192.168.3.0 -Endaddress 192.168.3.100 -ResolveHost -ScanPort 端口掃描(查看目錄對應文件有演示語法,其他同理) 其他功能:刪除補丁,反彈shell,憑據獲取等
探針域內主機角色及服務信息
- 利用開放端口服務及計算機名判斷
- 核心業務機器:
- 1.高級管理人員,系統管理員,財務/人事、業務人員的個人計算機
- 2.產品管理系統服務器
- 3.辦公系統服務器
- 4.財務應用系統服務器
- 5.核心產品源碼服務器
- 6.數據庫服務器
- 7.文件或者網盤服務器
- 8.電子郵件服務器
- 9.網絡監控系統服務器
- 10.其他服務器(內部技術文檔服務器,其他監控服務器)
其他涉及資源:
- https://nagareshwar.securityxploded.com/download-softwares/
- https://xenarmor.com/allinone-password-recovery-pro-software/
- 紅隊實戰演練環境:https://pan.baidu.com/s/14eVDglqba1aRXi9BGcBbug 提取碼: taqu
參考:
https://blog.csdn.net/Waffle666/article/details/120157352
https://baijiahao.baidu.com/s?id=1697474162209043682&wfr=spider&for=pc