域环境&工作组&局域网探针方案

第一部分：基本认知

        1.名词

 

                局域网：几台电脑构成的一个小网络

                工作组：工作组是局域网中的一个概念，它是最常见的资源管理模式，简单是因为默认情况下计算机都是采用工作组方式进行资源管理的。将不同的电脑按功能分别列入不同的组中，以方便管理。默认情况下所有计算机都处在名为WORKGROUP的工作组中，工作组资源管理模式适合于网络中计算机不多，对管理要求不严格的情况。它的建立步骤简单，使用起来也很好上手。大部分中小公司都采取工作组的方式对资源进行权限分配和目录共享。相同组中的不同用户通过对方主机的用户名和密码可以查看对方共享的文件夹，默认共享的是Users目录。不同组的不同用户通过对方主机的用户名和密码也可以查看对方共享的文件夹。所以工作组并不存在真正的集中管理作用.工作组里的所有计算机都是对等的 , 也就是没有服务器和客户机之分的。

                域环境：只有windows才有域控，linux没有域控。域环境用来描述一种架构，和“工作组”相对应，由工作组升级而来的高级架构。将网络中多台计算机逻辑上组织到一起，进行集中管理，这种区别于工作组的逻辑环境叫做域。域是组织与存储资源的核心管理单元域(Domain)是一个有安全边界的计算机集合可以简单的把域理解成升级版的“工作组”，相比工作组而言，它有一个更加严格的安全管理控制机制，如果你想访问域内的资源，就必须拥有一个合法的身份登陆到该域中,而你对该域内的资源拥有什么样的权限,还需要取决于你在该域中的用户身份。

                活动目录AD：在域架构中域控是用来管理所有客户端的服务器，它负责每一台联入的电脑和用户的验证工作，域内电脑如果想互相访问首先都得经过它的审核。域控是域架构的核心，每个域控制器上都包含了AD活动目录数据库。一个域中可能应该要有至少两个域控。一个作为DC，一个是备份DC。如果没有第二个备份DC，那么一旦DC瘫痪了，则域内的其他用户就不能登陆该域了，因为活动目录的数据库（包括用户的帐号信息）存储在DC中的。而有一台备份域控制器（BDC），则至少该域还能正常使用，期间把瘫痪的DC恢复了就行了。当域中的一台计算机安装了AD后，它就成了域控DC。

                域控制器DC：活动目录AD是域环境中提供目录服务的组件。在活动目录中，所有的网络对象信息以一种结构化的数据存储方式来保存，使得管理员和用户能够轻松地查找和使用这些信息。活动目录以这种结构化的数据存储方式作为基础，对目录信息进行合乎逻辑的分层组织。活动目录存储着有关网络对象（如用户、组、计算机、共享资源、打印机和联系人等）的信息。目录服务是帮助用户快速准确从目录中查找到他所需要的信息的服务。安装有AD活动目录的服务器就是域控DC。

        2.域

                单域：在一般的具有固定地理位置的小公司里，建立一个域就可以满足所需。

                父域和子域：域树指若干个域通过建立信任关系组成的集合。一个域管理员只能管理本域的内部，不能访问或者管理其他的域，二个域之间相互访问则需要建立 信任关系 (Trust Relation)。信任关系是连接在域与域之间的桥梁。父域与子域之间自动建立起了双向信任关系，域树内的父域与子域之间不但可以按需要相互进行管理，还可以跨网分配文件和打印机等设备资源，使不同的域之间实现网络资源的共享与管理，以及相互通信和数据传输。同一个域树中，父域和子域会自动创建双向信任关系，并且信任关系可传递。所以也就是如下：abc.com 自动与 asia.abc.com 和 europe.abc.com 建立起了双向信任关系，asia.abc.com 和 cn.asia.abc.com以及 europe.abc.com 与 fr.asia.abc.com 自动建立起了双向信任关系。由于信任关系可以传递，所以cn.asia.abc.com和abc.com以及fr.asia.abc.com和abc.com都自动建立起了双向信任关系。但是 asia.abc.com 和 europe.abc.com 之间并没有建立起信任关系。所以也就是 asia.abc.com 和 europe.abc.com 之间不能进行数据共享等操作。他们之间要想进行数据共享等操作，需要手动为他们之间建立信任关系。

                域树或域森林：在一个域树中，父域可以包含很多子域，子域是相对父域来说的，指域名中的每一个段。子域只能使用父域作为域名的后缀，也就是说在一个域树中，域的名字是连续的。

        3.认知

                大概内网渗透流程：信息收集、权限提升、横向渗透、权限维持

第二部分：信息收集

        1.基本信息

                例如：版本，补丁，服务，任务，防护

                常用命令：cmd->

                                获取操作系统：systeminfo

                                获取开启服务：net start

                                获取进程列表：tasklist     

                                获取计划任务：schtasks  

        2.网络信息

                例如：开放端口，网络环境，出口代理

                常用命令：cmd->

                                判断存在域-DNS:ipconfig /all   若windows ip中有主dns后缀，则有域

                                判断存在域：net view /domain

                                判断主域：net time /domain   得到的主域地址后用ping 地址 或nslookup 地址

                                查看端口：netstat -ano        

        3.用户信息

                域用户,本地用户,用户权限,对应组信息

                常用命令：cmd->

                                用户权限：whoami /all

                                登录信息：net config workstation

                                本地用户：net user

                                本地用户组：net localgroup

                                net user /domain 获取域用户信息

                                net group /domain 获取域用户组信息

                                wmic useraccount get /all 涉及域用户详细信息

                                net group "Domain Admins" /domain 查询域管理员账户

                                net group "Enterprise Admins" /domain 查询管理员用户组

                                net group "Domain Controllers" /domain 查询域控制器

        4.凭据信息

                 旨在收集各种密文、明文、口令等,为后续横向渗透做好准备

                计算机用户HASH,明文获取-mimikatz(win),mimipenguin(Linux)

                如果是GOD\webadmin,是无法运行的,权限不足,权限提升

第三部分：后续探针

        1.存活主机

        2.域控制器

        3.网络结构

        4.服务接口