内网渗透测试

什么是内网？

• 内网是一个只有组织工作人员才能访问的专用网络
• 组织内部IT系统提供的大量信息和服务是公众无法从互联网获得的
• 最简单的形式是使用局域网（LAN）、城域网（MAN）和广域网（WAN）的技术建立内网

什么是内网渗透？

• 已突破外网进入内网

• 仅面向内网系统渗透测试

• 模拟内部员工进行渗透测试

内网渗透基本流程：

• 信息收集
• 获取权限
• 横向移动
• 权限维持
• 清理痕迹

什么是Windows域

将网络中多台计算机逻辑上组织到一起，进行集中管理，这种区别于工作组的逻辑环境叫做域，域是组织与存储资源的核心管理单元，在域中，至少有一台域控制器，域控制器中保存着整个域的用户帐号和安全数据库。

 

那么域网络结构有什么优点呢？域的优点主要有以下几个方面：

1、权限管理比较集中，管理成本降低

域环境中，所有的网络资源，包括用户均是在域控制器上维护的，便于集中管理，所有用户只要登入到域，均能在域内进行身份验证，管理人员可以较好的管理计算机资源，管理网络的成本大大降低；同时在域环境中也可以防止企业员工在域成员主机上违规安装软件，增强客户端安全性，减少客户端故障，降低维护成本。

2、保密性加强

有利于企业的一些保密资料的管理，可以单独对资源进行权限控制，允许或拒绝特定的域账户对资源的请求。

3、安全性加强

使用漫游账户和文件夹重定向，个人账户的工作文件及数据等可以存储在服务器上，进行统一备份及管理，使用户的数据更加安全有保障；同时域控制器能够分发应用程序、系统补丁，用户可以选择安装，也可以由系统管理员指派自动安装，数据及系统安全性大大提高。

4、提高了便捷性

可由管理员指派登陆脚本映射，用户登录后就可以像使用本地盘符一样，使用网络上的资源，且不需要再次输入密码。

 

二、域的特性

域成员计算机在登录的时候可以选择登录到域中或此计算机，登陆到域中的时候，身份验证是采用Kerberos协议在域控制器上进行的，登陆到此计算机则是通过SAM来进行NTLM验证的，如下图：

默认情况下，域用户可以登录到域中所有的工作站，不包括域控制器，管理员也可以指定具体的计算机，域用户信息保存在活动目录中，如下图：

 

域渗透思路

一个具有一定规模的企业，每天都可能面临员工入职和离职，因此网络管理部门经常需要对域成员主机进行格式化消除磁盘的文件，然后重装系统及软件，以提供给新员工使用；因此，为了便于后期交接，大多网络管理员会做好一个系统镜像盘，统一安装所有的电脑，并且在安装的时候设置惯用、甚至统一的密码。

因此，域中的计算机本地管理员账号，极有可能能够登陆域中较多的计算机，本地管理员的密码在服务器上后期修改的概率，远低于在个人办公电脑上的概率，而域用户权限是较低的，是无法在域成员主机上安装软件的，这将会发生下面的一幕：

某个域用户需要使用viso软件进行绘图操作，于是联系网络管理员进行安装，网络管理员采用域管理员身份登录了域成员主机，并帮助其安装了viso软件，于是这个有计算机基础的员工，切换身份登录到了本地计算机的管理员，后执行mimikatz，从内存当中抓取了域管理员的密码，便成功的控制了整个域。

因此，域渗透的思路就是：

• 通过域成员主机
• 定位出域控制器IP及域管理员账号
• 利用域成员主机作为跳板，扩大渗透范围
• 利用域管理员可以登陆域中任何成员主机的特性，定位出域管理员登陆过的主机IP
• 设法从域成员主机内存中dump出域管理员密码
• 进而拿下域控制器、渗透整个内网。

 

域渗透常用指令

得到域控制器的IP：（域成员主机上执行的结果）

​​​​​​​dsquery server

得到域控制器主机名：（域控制器上执行的结果）

net group "domain controllers" /domain

注意通过该指令得到的机器名后面会多一个$符号

查询域管理用户：（域控制器上执行的结果）

net group "domain admins" /domain

查看所有域用户：

net user /domain

这里有一个特殊用户叫做krbtgt，该用户是用于Kerberos身份验证的帐户，获得了该用户的hash，就可以伪造票据进行票据传递攻击了。

查询当前登陆域：

net config workstation

查询域密码策略：

net accounts /domain

查看补丁信息：

wmic qfe

查看操作系统类型：

wmic os