主要都是一些概念的理解
局域网就是内部网,局域网内部的电脑共用与外部的物理连接
工作组(Work Group)是局域网中的一个概念。它是最常见最简单最普通的资源管理模式,就是将不同的电脑按功能分别列入不同的组中,以方便管理。它是最常见最简单最普通的资源管理模式,就是将不同的电脑按功能分别列入不同的组中,以方便管理。
相同组中的不同用户通过对方主机的用户名和密码可以查看对方共享的文件夹,默认共享的是Users目录。不同组的不同用户通过对方主机的用户名和密码也可以查看对方共享的文件夹。所以工作组并不存在真正的集中管理作用.工作组里的所有计算机都是对等的 , 也就是没有服务器和客户机之分的。
一个公司有几百上甚至千台电脑,不分组的话。在电脑内找一个电脑或者找某台电脑上的共享文件。不止非常的杂乱的,找起来非常浪费时间。
工作组简单理解就是分类,分门别类。便于管理与沟通。
域(domain),是局域网一组计算机的名称。用于企业或者公司计算机组的统一管理和远程办公,一般必须有一台独立的域服务器,用于验证加入域的电脑和用户,这是域和计算机组的最基本的不同,计算机域的安全性更高。建立信任关系后,不同域的计算机可以相互访问。
工作组实际上是个对等网络,而域实质上是B/S架构,集中式管理。
域控DC是这个域中的管理者,域里面的最高权限,判断是否拿下整个域,就是看你是否拿下这台域控制器。
域控制器(Domain Controller,DC)是一台安装并运行Active Directory的服务器,它包含Active Directory数据库的可写副本,参与Active Directory复制并控制对网络资源的访问。控制器统一管理帐户数据库、所有的用 户登录、资源访问认证及其管理任务。一个域可以有一个或多个域控制器,各域控制器间地位平等,管理员可以在任一台域控制器上更新域中的信息,更新的信息会 自动传递到网络中的其他域控制器中。
活动目录AD是域环境中提供目录服务的组件。活动目录存储着有关网络对象(如用户、组、计算机、共享资源、打印机和联系人等)的信息,所有的网络对象信息以一种结构化的数据存储方式来保存,使得管理员和用户能够轻松地查找和使用这些信息。目录服务是帮助用户快速准确从目录中查找到他所需要的信息的服务。安装有AD活动目录的服务器就是域控DC。
在活动目录中记录的信息,被分为两大部分,一部分保存在活动目录数据库文件NTDS.dit 中,另一部分保存在被复制的文件系统上。
域用户帐户以域数据库的形式保存在活动目录中,NTDS.dit是活动目录的数据库文件,该文件记录的信息有以下三张表:
Schema 表 :这个表中包含了所有可在活动目录创建的对象信息以及他们之间的相互关系。包括各种类型对象的可选及不可选的各种属性。这个表是活动目录数据库中最小的一个表,但是也是最基础的一个表。
Link 表 :Link表包含所有属性的关联,包括活动目录中所有对象的属性的值。一个用户对象的所有属性的类型,包括每个属性的值及用户所属于的组等信息都属于这个表。这个表要大于Schema 表,但与Data 表相比要小。
Data 表:活动目录中用户,组,应用程序特殊数据和其他的数据全部保存在Data表中。这是活动目录中存储信息最多的一个表,大量的活动目录的资料实际上还是存储在这个表中。
ntdsutil.exe是域控制器自带的域数据库管理工具,从windows Server 2008 开始就默认自带了。因此我们可以通过ntdsutil.exe提取出域中所有的域用户信息。
客户端机器
安装域控制器--------就生成里域环境
安装了活动目录--------就生成了域控制器
在一般的具有固定地理位置的小公司里,建立一个域就可以满足所需。
父域和子域是相对而言的。
域树由多个域组成,这些域共享同一表结构和配置,形成一个连续的名字空间。
由一个或多个域树构成的域网络管理模式,称为域林
下图属于单域环境,Windows2008R2作为域控DC,有五个域成员主机,fileserver文件服务器、SqlServer数据库服务器、webserver网站服务器和两台个人PC。他们都是在192.168.3.0这个网段,webserver网站服务器有两个网卡,一个192.168.3.31一个在192.168.230.131,这个192.168.230.131就好比是它的一个对外出口(外网接口),kali攻击机,它通过192.168.230.131这个接口进入网站服务器计算机,由于这台计算机(192.168.3.31)是连接到内网的,所有它享有192.168.3.0/24这个网段的访问权限。拿下网站服务器后的首要攻击目标就是DC!只要拿下DC,也就相当于同时拿下了所有域成员主机权限。
旨在了解当前服务器的计算机基本信息,为后续判断服务器角色,网络环境等做准备
systeminfo 详细信息
net start 启动服务
tasklist 进程列表
schtasks 计划任务
旨在了解当前服务器的网络接口信息,为判断当前角色,功能,网络架构做准备
ipconfig /all 判断存在域-dns
net view /domain 判断存在域
net time /domain 判断主域
netstat -ano 当前网络端口开放
nslookup 域名 追踪来源地址
ipconfig /all
不存在域(普通个人pc)
存在域 (域内pc)
net view /domain
net time /domain
返回的OWA2010CN-God.god.org就是域控的计算机全名
OWA2010CN-God.god.org就是域控的计算机全名,我们可以通过nslookup和ping命令去ping这个名字来获取域控的对应ip地址。
nslookup <域控制器全名>
ping <域控制器全名>
域控的ip为192.168.3.21
netstat -ano
旨在了解当前计算机或域环境下的用户及用户组信息,便于后期利用凭据进行测试
我们主要攻击Domain Admains和Enterprise Admains
大部分成员主机在Domain Users 域用户里
whoami /all
用户权限net config workstation
登录信息net use
r 本地用户net localgroup
本地用户组net user /domain
获取域用户信息net group /domain
获取域用户组信息wmic useraccount get /all
涉及域用户详细信息net group "Domain Admins" /domain
查询域管理员账户net group "Enterprise Admins" /domain
查询管理员用户组net group "Domain Controllers" /domain
查询域控制器 先找到域用户名,为后续进行密码账号的攻击做准备,后续攻击是可以用这些真实的用户名套用密码字典进行暴力破解,一旦找到对应的密码就可以登录计算机进行后续操作。看看用户名在哪个组,我就有什么权限。
net user
(本地用户),对于本地用户,当前计算机可通过用户名密码登录。
net user /domain
对于域用户,当前计算机是否可登录,受活动目录限制,若权限不够,是不能登录的。
本地用户组
net localgroup
net group /domain
wmic useraccount get /all
net group "Domain Admins" /domain
net group "Domain users" /domain
旨在收集各种密文,明文,口令等,为后续横向渗透做好测试准备
计算机用户 HASH,明文获取-mimikatz(win),mimipenguin(linux)
计算机各种协议服务口令获取-LaZagne(all),XenArmor(win)
Netsh WLAN show profiles
Netsh WLAN show profile name=“无线名称” key=clear
mimikatz运行需要域管理员权限,域用户无法运行,因为权限不够
抓取明文密码 sekurlsa::logonpasswords
更多操作---阅读官方文档
运行需要root权限,普通用户无法运行。
把这些密码口令信息获取之后,这个口令密码可以作为密码字典测试可不可以登录某某台计算机。(密码这些票据信息非常重要!)
为后续横向思路做准备,针对应用,协议等各类攻击手法
探针域控制器名及地址信息
net time /domain
nslookup ping
探针域内存活主机及地址信息
nbtscan 192.168.3.0/24
第三方工具———没必要用这个工具,不强大,不免杀!
for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.3.%I | findstr "TTL="
NiShang简介:
Powershell用于渗透测试其实早在多年前就已经被提出了。利用Powershell,攻击者可以在无需接触磁盘的情况下执行命令等,并且相较已经被大家广泛关注并防御的Cmd而言,Powershell并非那么的引人瞩目。Nishang是基于PowerShell的渗透测试专用工具。它集成了框架、脚本和各种payload,能够帮助渗透测试人员在对Windows目标的全过程检测中使用,是一款来源于作者实战经历的智慧结晶。
NiShang下载:https://github.com/samratashok/nishang
Import-Module .\nishang.psm1
Set-ExecutionPolicy RemoteSigned
Get-Command -Module nishang
Get-Information
Invoke-PortScan -StartAddress 192.168.80.0 -EndAddress 192.168.80.100 -ResolveHost -ScanPort
探针域内主机角色及服务信息
利用开放端口服务及计算机名判断
核心业务机器:
1.高级管理人员、系统管理员、财务/人事/业务人员的个人计算机
2.产品管理系统服务器
3.办公系统服务器
4.财务应用系统服务器
5.核心产品源码服务器(自建 SVN、GIT)
6.数据库服务器
7.文件或网盘服务器、共享服务器
8.电子邮件服务器
9.网络监控系统服务器
10.其他服务器(内部技术文档服务器、其他监控服务器等)
http://unixwiz.net/tools/nbtscan.html
https://github.com/samratashok/nishang
gentilkiwi/mimikatz: A little tool to play with Windows security (github.com)
huntergregal/mimipenguin: A tool to dump the login password from the current linux user (github.com)
AlessandroZ/LaZagne: Credentials recovery project (github.com)
XenArmor All-In-One Password Recovery Pro 2021 Software | XenArmor
红队实战演练环境:https://pan.baidu.com/s/14eVDglqba1aRXi9BGcBbug 提取码: taqu
https://www.cnblogs.com/zhengna/p/15293994.html