内网渗透笔记1------（域、用户组、抓去hash、端口转发...）

一台计算机要么属于工作组，要么属于域

（1）工作组是MS 的概念，一般的普遍称谓是对等网。工作组通常是一个由不多于10 台计算机组成的逻辑集合

工作组实现的是分散的管理模式，每一台计算机都是独自自主的，用户账户和权限信息保存在本机中，同时借助工作组来共享信息，共享信息的权限设置由每台计算机控制

（2）域实现的是主/从管理模式，通过一台域控制器来集中管理域内用户帐号和权限，帐号信息保存在域控制器内，共享信息分散在每台计算机中，但是访问权限由控制器统一管理

在“域”模式下，资源的访问有较严格的管理,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller，简写为DC）

采取域管理的好处：

①方便管理，权限管理比较集中，管理人员可以较好的管理计算机资源

②安全性高，有利于企业的一些保密资料的管理

③节省大量网络带宽，SMS（System Management Server）能够分发应用程序、系统补丁等，用户可以选择安装，也可以由系统管理员指派自动安装。并能集中管理系统补丁，不需要每台客户端服务器都下载同样的补丁

域树：

域树由多个域组成，这些域共享同一表结构和配置，形成一个连续的名字空间

域树中的域层次越深级别越低，一个“.”代表一个层次 "

域树中的域是通过双向可传递信任关系连接在一起的，因此在域树或域林中新创建的域可以立即与其他的域建立信任关系。这些信任关系允许单一的登录过程，在域树或域林中的所有域上对用户进行身份验证，但这不一定意味着经过身份验证的用户在域树的所有域中都拥有相同的权利和权限。

域林：

域林是指由一个或多个没有形成连续名字空间的域树组成，它与域树最明显的区别就在于域树是由一些具有连续名字空间的域组成

但域林中的所有域树仍共享同一个表结构、配置和全局目录。域林中的所有域树通过Kerberos 信任关系建立起来，所以每个域树都知道Kerberos信任关系，不同域树可以交叉引用其他域树中的对象。

域林都有根域，域林的根域是域林中创建的第一个域，域林中所有域树的根域与域林的根域建立可传递的信任关系

kerberos：

Kerberos是一种计算机网络授权协议，用来在非安全网络中，对个人通信以安全的手段进行身份认证。

AS					认证服务器（Authentication Server）
KDC					密钥分发中心（Key Distribution Center）
TGT					票据授权票据，票据的票据（Ticket Granting Ticket）
TGS					票据授权服务器（Ticket Granting Server）
SS					特定服务提供端（Service Server）

工作流程：

(1)一台电脑想要访问另一个服务器:需要一张kerberos的“入场券”

(2)向认证服务器(AS)请求验证，他会创建一个基于你的密码（从你的用户名而来）的一个“会话密钥”（TGT），并产生一个代表请求的服务的随机值，这个会话密钥就是“入场券”

(3)将入场券发到票据授权服务器(TGS)，TGS返回一张可以发送给请求的服务器的票据ST,TGS物理上可以和验证服务器是同一个服务器，只不过它现在执行的是另一个服务

(4)服务器或者拒绝这张票据，或者接受这张票据并执行服务。

(5)因为你从TGS收到的这张票据是打上时间戳的，所以它允许你在某个特定时期内（一般是八小时）不用再验证就可以使用同一张票来发出附加的请求。使这张票拥有一个有限的有效期使其以后不太可能被其他人使用

活动目录（AD）：

DC通过活动目录(Active Directory)来提供目录服务，如负责维护AD数据库，审核用户的账户和密码是否正确等。 DC是物理上的一台计算机，而活动目录是运行在DC上的一种服务。

内网渗透

进入域网络的两种方式

1)社会工程学

发送邮件

网络钓鱼（Phishing）：攻击者利用欺骗性的电子邮件和伪造的 Web 站点来进行网络诈骗活动，受骗者往往会泄露自己的私人资料，如信用卡号、银行卡账户、身份证号等内容。

水坑攻击：是在受害者必经之路设置了一个“水坑(陷阱)”。最常见的做法是，黑客分析攻击目标的上网活动规律，寻找攻击目标经常访问的网站的弱点，先将此网站“攻破”并植入攻击代码，一旦攻击目标访问该网站就会“中招”。

扩展：一些常见的攻击名词：http://www.sohu.com/a/166589989_472906

2)技术手段

子域名劫持漏洞：https://blog.csdn.net/weixin_39997829/article/details/82978476

		https://www.freebuf.com/articles/web/183254.html 

节点漏洞

网络劫持

步骤

1、获取内网的一台主机

2、域网络信息刺探

首要条件：已取得一台内网个人机或服务器

渗透的过程就是一个信息刺探、利用、思考、突破的过程。首先在我们获得一台内网的机器后应该怎么做，当然是信息刺探。

两个信息刺探：

1).当前机器情况

2).当前网络情况

查看文件确定当前机器使用者身份：

C:\Users\adminstrator(当前用户名)\Documents 文档文件

C:\Users\administrator(当前用户名)\Desktop  桌面文件

C:\Users\adminstrator(当前用户名)\AppData\Roaming 经常使用的文件

C:\Users\administrator(当前用户名)\AppData\Roaming\Microsoft\Windows\Recent 经常打开的文件

确认当前权限是否需要提权:

net user
net localgroup adminstrator
whoami

确认当前权限是否需要过UAC:echo 1 >C:\windows\system32\1.txt

UAC:用户帐户控制

(User Account Control) 是Windows Vista（及更高版本操作系统）中一组新的基础结构技术，可以帮助阻止恶意程序（有时也称为“恶意软件”）损坏系统，同时也可以帮助组织部署更易于管理的平台。

使用 UAC，应用程序和任务总是在非管理员帐户的安全上下文中运行，但管理员专门给系统授予管理员级别的访问权限时除外。UAC 会阻止未经授权应用程序的自动安装，防止无意中对系统设置进行更改。

常用命令：

ipconfig /all		查看本机ip的所有信息，所在域
ping 域控域名		查看域控ip
nltest /dclist:d1	查看域控名字
net time /domain	查看域控的时间，domain是域控
net view			显示域中的计算机名
net user /domain	查看当前域中的用户
net group "domain admins" /domain     查询域管理员用户组

net config workstation		显示更改可配置工作站参数，也可以获得登录域，机器名等信息
net accounts		查看本地密码策略
netstat -an/ano/anb		网络连接查询
route print		打印路由表
dsquery			可以用来收集跨域的信息，但是跨域执行的前提是必须建立信任关系

抓取hash:

wce或者mimikatz

•https://blog.csdn.net/yiyefangzhou24/article/details/28631223

•QuarksPwDump V0.2b

http://www.freebuf.com/sectool/5049.html

http://www.webshell.cc/4625.html

•Windows密码抓取神器mimikatz2.0发布

http://www.freebuf.com/sectool/37162.html

http://blog.gentilkiwi.com/mimikatz

•使用Hash直接登录Windows

http://drops.wooyun.org/tips/24

http://drops.wooyun.org/pentesting/12521

•Win2012 Server抓HASH(本地+域)

https://www.91ri.org/4812.html

IPC$和WMIC

IPC是远程网络连接的缩写。Windows NT/2003/Xp都默认开启了IPC。IPC入侵的两个限制条件：

•目标主机开启了ipc$共享

•有目标主机的管理员帐号密码

连接目标主机 net use \192.168.1.9\IPC$ /u:adminstrator

映射目标主机C盘到本地：net use z: \192.168.1.9\C$

拷贝文件到目标主机:copy 1.txt \192.168.1.9\C$

WMIC扩展WMI（Windows Management Instrumentation，Windows管理工具） ，提供了从命令行接口和批命令脚本执行系统管理的支持

域网络横向拓展

•获取本机信息

利用mimikatz抓取域用户明文密码

利用gsecdump抓取本地用户hash

利用域用户和密码进行远程枚举

利用本地用户hash进行hash注入远程尝试

•扫描内部网络

•反弹socks5代理

•尝试常见漏洞

1)系统漏洞  MS08067、Lotus、Struts2、ms17010
2)弱口令     数据库弱口令 SQL Server、Oracle、Mysql   ；系统弱口令
3)web漏洞  内网注入和上传漏洞、phpmyadmin、tomcat、iis写权限、jenkins

•占领其它机器

• 获取域管权限

对等网下环境下的端口转发

htran 只能在windows下运行

ssh linux下使用

•SSH隧道翻墙的原理和实现

•https://segmentfault.com/a/1190000003939615

使用SSH做代理

•SSH隧道技术简介：端口转发&SOCKS代理

•http://my.oschina.net/leejun2005/blog/94401#OSC_h2_17

•内网渗透应用之metasploit pivot with socks4a

•http://www.2cto.com/Article/201303/196454.html