内网渗透小白基础
基础知识
工作组
将不同的计算机按照功能划分就成为了一个个的工作组。
windows下可以在计算机属性中设置工作组。网络中没有此工作组时就相当于创建了一个新的工作组。
工作组相当于一个自由的社团。
域内的基本概念
域
相当于升级版的工作组
有安全边界(不同的域不能互相访问资源)
访问资源时需要以合法的身份,对域内的资源的权限取决于访问用户在当前域内的身份
域控制器
域中类似管理服务器的计算机。
用于验证所有连入的计算机和用户的验证工作。
域内的所有用来验证身份的账号和密码的散列值都保存在此。
单域
一般在该域中至少拥有两台域服务器。一台作为DC,一台作为备份DC。
父域和子域
处于管理或者安全策略的考虑。
网络中划分的,第一个为父域,各分部的域称为父域的子域。
域树
多个建立了信任关系的域组成的集合。
域间互相访问需要建立信任关系。
一个域树中,父域可以包含多个子域。
同一域树中,域的名字是连续的。
域森林
多个域树建立了信任关系构成了域森林
域名服务器
用于实现域名和与之相对应的IP地址转换的服务器(DNS)。
内网的渗透测试中,大多都是利用域名服务器来确定域控制器的位置。(域名服务器和域控制器通常配置在同一机器)。
活动目录
域环境中提供目录服务的组件,目录服务是指帮助用户快速、准确地从目录下找到所需要的信息的服务。是微软提供的统一管理基础平台。
活动目录中,管理员不需要考虑被管理的对象的具体位置。
逻辑结构:不考虑被管理对象的具体地理位置的组织框架,包括组织单元、域、域树、域森林。
活动目录的优点:可以使得企业网络具有极强的可拓展性,便于进行组织、管理及目录定位。
功能
- 账号集中管理
- 软件集中管理
- 环境集中管理
- 增强安全性
- 更可靠、更短的宕机时间
内网中安装了活动目录数据库(AD库)的计算机就是域控制机(DC)。
安全域的划分
目的
将一组安全等级相同的计算机划入同一个网段。
特征
拥有相同的网络边界,在网络边界上采用防火墙部署来实现对其他安全域的NACL(网络访问控制策略),允许哪些IP访问此域、不允许哪些访问此域;允许此域访问哪些IP/网段、不允许访问哪些IP/网段。使得其风险最小化,当发生攻击时可以将威胁最大化的隔离,减少对域内计算机的影响。
内网区域的划分
用一个路由器连接的内网,可以将网络划分为三个区域
安全等级从低到高分别为:外网,DMZ,内网。
DMZ
DMZ就是隔离区,位于外网和内网之间,用于缓冲,同时解决了安装防火墙后外网不能访问内网的问题。
DMZ中会设置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛服务器等。
DMZ的屏障功能
在配置一个拥有DMZ的网络时,需要设置如下的访问控制策略:
- 外网可以访问DMZ
- 内网可以访问DMZ
- DMZ不可以访问外网(有例外,DMZ如果设置了邮件服务器之类的需要允许访问)
- DMZ不可以访问内网
- 内网可以访问外网
- 外网不可以访问内网(如果需要,则应该配置VPN访问)
内网
最里面的内网可以再细分为:办公区和核心区
办公区
用于员工日常工作的工作区。
一般能够访问DMZ。
一般安装了防病毒软件、主机入侵检测等的产品
部分主机可能可以访问核心区
因为人事的变动,可能存在很多安全管理方面的漏洞,是攻击者进入内网的重要途经之一。
核心区
存储了企业最核心的数据,通过日志记录、安全审计等安全措施进行了严密的防护,很少有主机能够直接访问。
域中计算机的分类
一共可以分为四种,当然这四种并不是都不可或缺,只有域控制器是必须要有的,它用于存放活动目录数据库。只要存在域控制器就能构成一个域。
同时,域中的角色并不是一成不变的,独立服务器在满足了特定条件以后可以成为域控制器也可以成为成员服务器。
- 域控制器
- 成员服务器
安装了服务器操作系统,但是没有安装活动目录的计算机,主要用于提供网络
资源。
- 客户机
安装了其他操作系统的计算机,它们可以通过域中的账户登陆域来获取域中的
资源,但需要通过域的安全验证
- 独立服务器
1、和域没有关系,既不加入域也不安装活动目录。
2、可以创建工作组
域内权限的解读
组是用户账号的集合。通过设置组再向组分配不同的权限就可以大大简化网络的维护和管理。可以分为域本地组、全局组、通用组。
域本地组
无法嵌套到其他组中,主要作用是授予本域资源的访问权限。
存在单个的服务器中
成员可以是同一域内的域本地组,也可以是其他域内的账户、全局组和通用组
全局组
可以嵌套到其他组中,可以访问任意域内的资源(森林中其他域以及其他森林的
受信任域的资源)
存在于域内
成员可以是同一域内的账户、全局组
注:全局组只能添加到同一域内的另一个全局组而不能添加到不同域内的全局组中,只能在创建它的域中添加用户和组。
通用组
可以嵌套到不同的通用组中,访问任意域内的资源(被授权访问森林中任何地方
以及其他森林的受信任域)
存在于域森林中
成员可以是域森林中任何域的用户账号、全局组和其他通用组
A-G-DL-P策略
指将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配权限
A:用户账号
G:全局组
U:通用组
DL:域本地组
P:资源权限
重要的域本地组权限
- 管理员组
- 远程登录组
- 打印机操作员组
- 账号操作员组
- 服务器操作员组
- 备份操作员组
重要的全局组、通用组权限
- 域管理员组
- 企业系统管理员组
- 域用户组