域内渗透

最新推荐文章于 2024-08-07 15:34:39 发布
最新推荐文章于 2024-08-07 15:34:39 发布
阅读量2.4k 收藏 4
点赞数
分类专栏: 安全 Windows
友链:https://cutt.ly/7777aaaa
本文链接:https://blog.csdn.net/include_heqile/article/details/87885877
版权
本文详细介绍了域内渗透的相关知识,包括文件查找、域控制器端口、LDAP、本地认证流程、ADSIEDitor、组策略、域内信息搜集、哈希传递等。重点讲解了LDAP的基本概念、使用工具如dsquery、dsget、AdFind、ldifde和csvde进行信息查询,以及获取域用户SID和域控权限的方法,如ms14-068漏洞利用和黄金、白银票据的生成与导入。
摘要由CSDN通过智能技术生成

文章目录


欢迎扫码关注微信公众号
回复关键字【资料】获取各种学习资料

在这里插入图片描述

文件查找

使用for循环查找文件

参考:

https://blog.csdn.net/qq_29647709/article/details/81474552

命令:

for /r 目录名 %i in (匹配模式1,匹配模式2) do @echo %i

比如在当前目录及其子目录下查看所有的txt文件:

for /r . %i in (*.txt) do @echo %i

如果结果太多,可以使用>>输出到文件

for /r C:\windows %i in (*target) do @echo %i >> 1.txt

注意在搜索目标前面加上通配符星号,不然会出现错误*

域相关知识

域控制器需要开启的端口

[外链图片转存中…(img-6VZJY82z-1597374357643)]

NTDS.DIT

C:\windows\NTDS\ntds.dit

名词解释:

NTDS stands for NT Directory Services
The DIT stands for Directory Information Tree.

Ntds.dit文件位于DC,该文件中包含所有被该DC控制的主机的名称、配置以及数据表名称信息

官方文档中对AD中几个重要文件的介绍:

https://blogs.msdn.microsoft.com/servergeeks/2014/10/14/active-directory-files-and-their-functions/

如何获得域控的NTDS.dit文件

http://www.4hou.com/technology/10573.html

LDAP

轻量目录访问协议

在AD中使用LDAP名称路径来表示对象在AD数据库中的位置

关于LDAP的一些重要的基本概念

https://ldap.com/basic-ldap-concepts/
  • Directory Servers
    • 目录服务器存储数据的数据库并非关系型数据库,而是树状的
  • Entries
    • 一个LDAP的entry就代表一个实体的信息的集合,每一个entry由三个重要成分组成:
      • distinguished name
      • collection of attributes
      • collection of object classes
    • 下面对这三个重要成分进行详细说明
  • ** DN --> distinguished name** and RDN --> Relative distinguished name
    • 用于在DIT(directory information tree)中唯一标识一个entry的位置
      • DN之于LDAP就相当于路径之于文件系统
    • DN由0个或多个RDN组成,每个RDN由0个或者多个(通常是1个)属性-值对组成,比如:uid=john.doe如果RDN有多个键值对就按下面的表示方式:givenName=John+sn=Doe,使用+进行分割
    • 特殊的DN由0个RDN构成,这种DN表示一个特殊的entry,叫做root DSE,参考文档https://ldap.com/dit-and-the-ldap-root-dse/,该DN提供关于directory Server的内容和容量信息
    • 对于由多个RDN构成的DN,比如:uid=john.doe,ou=People,dc=example,dc=com,它有4RDN,每个RDN都代表一个层级,使用降序排列,越靠后的距离root最近,比如上面的uid=john.doe,ou=People,dc=example,dc=com,它的父一级DN应该是ou=People,dc=example,dc=com
  • Attributes
    • attribute拥有entry的数据,每个Attributes都有类型,0个或多个Attributes选项以及一个包含了值的集合构成实际的数据
    • 所有的Attributes类型都有一个OIDobject identifier
  • Object Class
    • 用于表示attribute的类型,每一个entry也有一个object class,用来表明它表示该entry是关于什么的信息(人、组、设备、服务等)

本地认证流程:

winlogon.exe -> 接收用户输入 -> lsass.exe -> (认证)

NTLM 认证过程:

  1. 客户端向服务器发送用户信息(例:用户名 user)请求
  2. 服务端接受请求,生成 16 位随机数 Challenge,用 user 对应的 NTLM Hash 加密 Challenge,生成 Challenge1,然后将 Challenge 发给客户端
  3. 客户端接收 Challenge,用 user 对应的 NTLM Hash 加密 Challenge 生成 Response 发给服务器端
  4. 服务端对比接收的 Response 和 Challenge1 相同,则认证成功

由上述过程可知认证过程中,只涉及到本地的用户名(user)和对应的 NTLM Hash,因此如果在知道用户名和对应的 NTLM Hash 而不知道明文密码时,也能完成 NTML 认证,即哈希传递

哈希传递的工具:

Smbmap、CrackMapExec(没安成)、Mimikatz 、MSF

这些工具的使用参见#哈希传递

ADSI编辑器

参考文档:

在该编辑器中,可以看到四项

[外链图片转存中…(img-KlRX5DsQ-1597374357645)]

RootDSE、默认命名上下文(就是当前电脑登录的域)、Configuration、Schema

RootDSE

https://docs.microsoft.com/zh-cn/windows/desktop/ADSchema/rootdse

其中RootDSE被定义成目录服务器的目录数据树的rootRootDSE不属于任何命名空间,它只是用来提供Directory Server相关的信息,它的属性值都是用于表示目录服务器相关信息的

组策略

https://blog.csdn.net/kamroselee/article/details/793592
最低0.47元/天 解锁文章
「已注销」
关注
专栏目录
Cobalt Strike 渗透
f_carey的博客
01-25 3766
郑重声明: 本笔记编写目的只用于安全知识提升,并与更多人共享安全知识,切勿使用笔记中的技术进行违法活动,利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责,共同维护网络文明和谐。 Cobalt Strike 渗透1 实验环境1.1 实验拓扑1.2 配置 Win08/Win72 收集内信息2.1 查询当前权限2.2 判断是否存在2.3 查找控制器2.4 查询当前内存活主机2.4.1 利用 windows 内置命令收集2.4.2 利用NetBIOS 探测内网2.4.3 利用 IC.
Kerberos常见错误及解决方案
热门推荐
shkstart的博客
08-31 1万+
1、 Kerberos启动后台日志提示异常:No such file or directory – while initializing database for realm HADOOP.COM 在/var/log/krb5kdc.log中发现No such file or directory – while initializing database for realm HADOOP.COM。 解决方案: ①: 检查kdc.conf和krb5.conf文件是否配置正确,修改配置,注意:配置文件的[kdc
内网安全:内信息收集
qq_61553520的博客
06-01 2600
systeminfo 详细信息netstat -ano 端口列表route print 路由表net start 启动服务tasklist 进程列表schtasks 计划任务ipconfig /all 判断存在net view /domain 判断存在net time /domain 判断主netstat -ano 当前网络端口开放nslookup 名 追踪来源地址wmic service list brief 查询本机服务。
把手教你如何进行内网渗透
最新发布
wananxuexihu的博客
08-07 624
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
控安全之渗透
m0_59598029的博客
02-25 643
在通常情况下、即使拥有管理员权限,也无法读取控制器中的C:\Windwos\NTDS\ntds.dit文件(活动目录始终访问这个文件,所以文件被禁止读取)。使用Windows本地卷影拷贝服务可以获得文件的副本。在活动目录中,所有的数据都保存在ntds.dit文件中。ntds.dit是一个二进制文件,存储位置为控制器的。ntds.dit中包含(但不限于)用户名、散列值、组、GPP、OU等与活动目录相关的信息。它和SAM文件一样,是被Windows操作系统锁定的。
内信息查询工具AdFind
LuckySec
04-19 3381
工具简介 Adfind是一款在环境下非常强大的信息搜集工具,允许用户在环境下轻松搜集各种信息。它提供了大量的选项,可以优化搜索并返回相关详细信息,是内网渗透中的一款利器。 下载地址:https://www.softpedia.com/get/Programming/Other-Programming-Files/AdFind.shtml 常用命令 列出控制器名称: AdFind -sc dclist 查看控版本: AdFind -schema -s base objectversion
渗透.pdf
08-23
渗透工具主要包括以下几种: 1. **抓取hash密码**:通过工具如`vssown.vbs`、`vshadow.exe`、`ntdsdump.exe`、`mimikatz`等抓取内的哈希密码。 2. **Hash注入**:利用获取到的哈希进行身份验证。 3. **读取...
156-160.网络安全渗透测试—[Cobalt strike系列]—[渗透/信息收集/本地管理员/远程命令执行文件操作/Mimikatz/登录认证/自动化横向渗透/socks代理/中转监听器]
qwsn
04-02 1777
一、Cobalt Strike渗透 1 实验环境 1.1 实验拓扑 1.2 环境搭建 1.2.1 关闭各自内防火墙 1.2.2 配置DC组策略:自动化让用户加入到各自客户端的本地管理员组 1.2.3 DC组策略配置不当导致的权限问题:其他用户获取本地管理员权限 1.2.4 WinRM 服务的配置不当导致的问题:在权限允许下可远程执行脚本命令 1.2.5 Win7虚拟机设置不休眠不关闭显示器:防止自动挂起导致的会话关闭 2 实验1:获取webserver跳板机会话+通过webserver的smb会话
干货!内网渗透测试之渗透详解!收藏!
jennycisp的博客
09-04 799
将网络中多台计算机逻辑上组织到一起,进行集中管理,这种区别于工作组的逻辑环境叫做是组织与存储资源的核心管理单元,在中,至少有一台控制器,控制器中保存着整个的用户帐号和安全数据库。图1那么网络结构有什么优点呢?的优点主要有以下几个方面:1、权限管理比较集中,管理成本降低环境中,所有的网络资源,包括用户均是在控制器上维护的,便于集中管理,所有用户只要登入到,均能在内进行身份验证,管理人员可以较好的管理计算机资源,管理网络的成本大大降低;
AdFind:具有多线程功能的大众管理员登录查找器
02-13
AdFind 具有多线程功能的大众管理员登录查找器。 要求 requests 安装 $ apt update && apt upgrade $ pkg update $ pkg install python2 $ git clone https://github.com/AbilSeno/AdFind $ cd AdFind $ pip install requests $ python2 find.py https://domain.com 用法 : python2 find.py <domain>
内网渗透-渗透
qq_44806973的博客
11-23 5295
内网渗透(渗透) 基础指南
mimikatz实战渗透抓取控管理员密码
404
02-07 1万+
实验环境: 攻击机:Kali 靶 机:Windows server 2012 工具:mimikatz2.1 这里实验所需要的工具我会上传到我的资源里面,有需要的小伙伴可以自己去下载 条件:靶机获取到shell之后必须是管理员的权限 步骤: **我这里攻击利用的msf里面的regsvr32_applocker_bypass_ser
WinLogon登录管理和GINA简介 (转)
在线笔记
10-08 1万+
http://blog.csdn.net/chenyujing1234/article/details/7942845 平时我们在使用Windows XP时,总要先进行登录。Windows XP的登录验证机制比Windows 98严格很多,理解并掌握Windows XP的登录验证机制和原理对我们来说很重要,能增强对系统安全的认识,并能够有效预防、解决黑客和病毒的入侵。     
中黄金票据
https://www.cnblogs.com/zpchcbd/
09-11 1282
黄金票据(golden ticket):伪造票据授予票据(TGT),也被称为认证票据。 krbtgt账户:每个控制器都有一个“krbtgt”的用户账户,是KDC的服务账户,用来创建票据授予服务(TGS)加密的密钥。 0x00 金票据利用条件: 控中krbtgt账户NTLM密码哈希 中的sid值 一台中主机 与其说是一种攻击方式,不如说是一种后门,当控权限掉后,再重新获取权限,因为常见...
渗透之通过DCSync获取权限并制作黄金票据
weixin_30886233的博客
03-02 774
环境背景 账号: admin 没有管权限 admin02 有管权限 administrator 有管权限 模拟渗透过程: 利用任意方法已经登录到client1(Windows 7),在client1上获取到了admin02的权限,进行DCSync获取krbtgt的hash,制作黄金票据,并远程IPC访问控Windows Server 2012 登录Client1抓取管凭证 ...
内网渗透基础知识
huangyongkang666的博客
03-29 2701
内网渗透基础知识 1.内网简介 ​ **内网即局网(LAN)**是指在某一区内由多台计算机互联成的计算机组。一般是方圆几千米以内。局网可以实现文件管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮件和传真通信服务等功能。局网是封闭型的,可以由办公室内的两台计算机组成,也可以由一个公司内的上千台计算机组成。比如内网中的机器,输入ipconfig /all发现我们的ip是192.168…,内网中一号机器是192.168.0.1,二号机器是192.168.0.2,以此类推,但是我们在浏览器中输
渗透——Kerberos委派攻击
whojoe的博客
07-12 1498
渗透——Kerberos委派攻击前言环境搭建创建非约束委派账户创建约束委派账户发现内委派的用户和计算机ldapsearch查找非约束用户查找非约束机器查找约束用户查找约束机器ADfind查找非约束委派用户查找非约束委派主机查找约束委派用户查找非约束委派主机PowerView查找非约束委派用户查找非约束委派主机查找约束委派用户查找约束委派主机非约束委派的利用触发约束委派的利用利用防御参考文章 前言 本文章重点说一下约束委派和非约束委派,,这里的非约束委派需要手动触发比较鸡肋,可以使用非约束委派账户配合pr
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值