《内网安全攻防.渗透测试实战指南》学习笔记一：内网渗透基础

前言

小弟刚接触到内网渗透，该学习笔记上若有不足或错误之处，还请大佬们多多指教呀。

一、内网基础知识

1、名词解释

• 内网：内网也指**局域网（Local Area Network，LAN）是指在某一区域内由多台计算机互联成的计算机组。一般是方圆几千米以内。局域网可以实现文件管理、应用软件共享、打印机共享、工作组内的历程安排、电子邮件和传真通信服务等功能。

• 工作组：在大型单位中，如果计算机不分组的话找起计算机来非常不方便。因此有了“工作组”这个概念，将不同的电脑一般按功能（或部门）分别列入不同的工作组中。（用户可以随意加入/退出工作组，工作组并不存在真正的集中管理作用，工作组里的所有计算机都是对等的，也就是没有服务器和客户机之分的。）

• 域：是一个有安全边界的计算机集合（安全边界意思是在两个域中，一个域中的用户无法访问另一个域中的资源），相比工作组而言,它有一个更加严格的安全管理控制机制,如果你想访问域内的资源,必须拥有一个合法的身份登陆到该域中,而你对该域内的资源拥有什么样的权限,还需要取决于你在该域中的用户身份。

• 域控制器：（Domain Controller，简写为DC）是一个域中的一台类似管理服务器的计算机，相当于一个单位的门卫一样，它负责每一台联入的电脑和用户的验证工作，域内电脑如果想互相访问首先都是经过它的审核。

• 单域：即一个域。一般在一个域内要建立至少两个域服务器，一个作为DC，一个是备份DC。如果没有第二个备份DC，那么一旦DC瘫痪了，则域内的其他用户就不能登陆该域了，因为活动目录的数据库（包括用户的帐号信息）是存储在DC中的。

• 父域：出于管理及其他一些需求，需要在网络中划分多个域，第一个域称为父域，各分部的域称为该域的子域。比如大型公司的分公司在不同的地理位置，就需要建立多个域。且出于安全策略的考虑，因为每个域都有自己独有的安全策略。比如一个公司的财务部门希望能使用特定的安全策略（包括帐号密码策略等），那么可以将财务部门做成一个子域来单独管理。

• 域树：指若干个域通过建立信任关系组成的集合。一个域管理员只能管理本域的内部，不能访问或者管理其他的域，二个域之间相互访问则需要建立信任关系(Trust Relation)。信任关系是连接在域与域之间的桥梁。域树内的父域与子域之间不但可以按需要相互进行管理，还可以跨网分配文件和打印机等设备资源，使不同的域之间实现网络资源的共享与管理，以及相互通信和数据传输。

• 域林：指若干个域树通过建立信任关系组成的集合。可以通过域树之间建立的信任关系来管理和使用整个森林中的资源，从而又保持了原有域自身原有的特性。

• DNS域名服务器：DNS域名服务器是进行域名(domain name)和与之相对应的IP地址 (IP address)转换的服务器。•在域树的介绍中，可以看到域树中的域的名字和DNS域的名字非常相似，实际上域的名字就是DNS域的名字，因为域中的计算机使用DNS来定位域控制器和服务器以及其他计算机、网络服务等。一般情况下,我们在内网渗透时就通过寻找DNS服务器来定位域控制器，因为通常DNS服务器和域控制器会处在同一台机器上。

• 活动目录：AD是域环境中提供目录服务的组件。如果将企业的内网看成是一本字典，那么内网里的资源就是字典的内容，活动目录就相当于字典的索引。即活动目录存储的是网络中所有资源的快捷方式，用户通过寻找快捷方式而定位资源。

• 目录：目录就是存储有关网络对象（如用户、组、计算机、共享资源、打印机和联系人等）的信息。目录服务是帮助用户快速准确的从目录中查找到他所需要的信息的服务。

• 活动目录的主要功能：

  • 账号集中管理。

  • 软件集中管理，统一推送软件，统一安装网络打印机等。

  • 环境集中管理。如统一桌面等。

  • 增强安全性。统一安装杀软、集中化管理用户权限。

  • 更可靠，更少的宕机时间。如：利用AD控制用户访问权限，利用群集、负载均衡等技术对文件服务器进行容灾设定，更可靠，宕机时间更少。

  • 活动目录为Microsoft统一管理的基础平台，其它isa,exchange,sms等服务都依赖于这个基础平台。

• AD和DC的区别：AD库存放了网络中的众多对象的信息。将AD数据库安装在一台计算机上，这时这台计算机即为DC。

• 安全域划分：目的是将一组安全等级相同的计算机划入同一个网段内，这一网段内的计算机拥有相同的网络边界，在网络边界上采用防火墙部署来实现对其他安全域的NACL（网络访问控制策略）

• DMZ：DMZ称为”隔离区“，也称”非军事化区“。为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区。DMZ区通常位内部网络和外部网络之间的小网络区域内，DMZ区中通常部署一些公开的服务，如企业Web、FTP服务器等。

• DMZ的屏障功能：

  • 内网可以访问外网、DMZ区。

  • 外网不能访问内网。但是可以访问DMZ区。

  • DMZ不能访问内网、外网（有例外，如邮件服务。）

• 域中计算机分类

  • 域控DC（必须存在）

  • 成员服务器：安装了服务且加入到域中，没有安装AD的计算机。

  • 客户机：普通的计算机。通过被授予权限可以访问资源。

  • 独立服务器：不加入域，不安装AD。不能享受域提供的共享资源。可以创建工作组。

    注：域中的各个服务器的角色也可以改变的。

• 域内权限解读

  • 组：是用户帐号的集合。通过向一组用户分配权限从而不必向每个用户分配权限，管理员在日常工作中不必要去为单个用户帐号设置自己独特的访问权限，而是将用户帐号加入到相对应的安全组中。管理员通过给相对的安全组访问权限就可以了，这样所有加入到安全组的用户帐号都将有同样的权限。使用安全组而不是单个的用户帐号可以方便，简化网络的维护和管理工作。

  • 域本地组：多域用户访问单域资源（访问同一个域）。可以从任何域添加用户账户、通用组和全局组，只能在其所在域内指派权限。域本地组不能嵌套于其他组中。它主要是用于授予位于本域资源的访问权限。

  • 全局组：单域用户访问多域资源（必须是同一个域里面的用户）。只能在创建该全局组的域上进行添加用户和全局组，可以在域林中的任何域中指派权限，全局组可以嵌套在其他组中。

  • 通用组：通用组成员来自域林中任何域中的用户账户、全局组和其他的通用组，可以在该域林中的任何域中指派权限，可以嵌套于其他域组中。非常适于域林中的跨域访问。

    注：这样简单记忆：

    • 域本地组：来自全林用于本域

    • 全局组：来自本域作用于全林

    • 通用组：来自全林用于全林

• A-G-DL-P策略：A-G-DL-P策略是将用户账号添加到全局组中，将全局组添加到域本地组中，然后为域本地组分配资源权限。按照AGDLP的原则对用户进行组织和管理起来更容易。

  • A（account）表示用户账户

  • G（Global group）表示全局组

  • U（universal group）表示通用组

  • DL（Domain local group）表示域本地组。

  • P（permission 许可）表示资源权限。

• 本地域组的权限

  • Administrators（管理员组）

  • Remote Desktop Users(远程登录组)

  • Print Operators（打印机操作员组）

  • Account Operators（帐号操作员组）

  • Server Operaters（服务器操作员组）

  • Backup Operators（备份操作员组）

• 全局组、通用组的权限

  • Domain Admins（域管理员组）

  • Enterprise Admins（企业系统管理员组）

  • Schema Admins（架构管理员组）

  • Domain Users（域用户组）

二、内网环境搭建

1. 拓扑图：

image.png

2. 拓扑图解释

• 防火墙需有两张网卡：一张设为仅主机模式，即获得内网地址。另一张设置为桥接模式，获得外网地址。

• 域控：网卡设置为仅主机模式，获得内网地址。

• win7服务器，需要有两张网卡：一张设置为仅主机模式，即获得内网地址，另一张设置为桥接模式。获得外网地址，同时需要向外发布web服务。