[ 内网渗透实战篇-1 ] 单域环境搭建与安装&域环境判断&域控定位&CS插件装载&CS上线

🍬 博主介绍

👨‍🎓 博主介绍：大家好，我是 _PowerShell ，很高兴认识大家~
✨主攻领域：【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯（一键三连）😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限，欢迎各位大佬指点，相互学习进步！

1. 实验简介

本实验所用的所有工具资源均在文章最下方

1.1 实验目标

1、掌握搭建单域环境以及域账户与普通账户区别
2、掌握域环境的判断、域控主机的定位的技巧
3、了解CS上线基础操作以及插件装载

1.2 网络拓扑图

1.3 账户详细信息

windows server 2016  域控  DNS服务器
  192.168.139.11
  Administrator:1q2w3eQWE,./
  还原目录密码：Hacker@123

windows server 2008 网站服务器
  192.168.139.22
  web:QWEqwe@2008

windows 10 普通办公PC
  192.168.139.33
  1pc:QWEqwe@10

windows 7 普通办公PC
  192.168.139.44
  2pc:QWEqwe@7  

2. 单域环境搭建以及虚拟机安装

下载镜像以及对应的序列号
单域靶场环境下载链接

2.1 归类建档

找到一个容量足够的盘（至少100g可用容量），我这里是F，文件夹进行如下设置，新建Single_Domain文件夹，分别创建如下文件夹，域名-角色-操作系统版本

2.2 网络还原默认配置

先还原默认配置，点击编辑-虚拟网络编辑器-更改设置-还原默认设置

点击更改设置

点击还原默认配置

2.3 VM 安装

2.3.1 DC-windows server 2016

单域靶场环境下载链接

此处只演示win2016安装过程，其他版本操作系统可类比，基本上是安装默认推荐的选项安装，如果电脑性能足够，每个操作系统都尽可能分配4g运行，以免卡顿

点击文件-新建虚拟机

按照自定义，直接下一步下一步到选择镜像，根据不同操作系统进行镜像选择，注意每个系统扮演的角色。

windows server 2016  域控&DNS服务器 
windows server 2008 网站服务器  Web版
windows 10 普通办公PC 
windows 7 普通办公PC 

选择好对应的镜像后，下一步

输入产品密钥，在序列号文件夹，直接找到win2016的，再选择Windows Server 2016数据中心版零售版的序列号，全名可改可不改，直接下一步

命名hacker.com-DC-Windows Server 2016，位置在前面创建好的文件夹中

下一步，选择UEFI（其他操作系统安装就按照默认选项进行）

选择2个处理器、2个内核，下一步（默认的2个处理器、1个内核也可以，电脑资源足够可多分配）

分配4g运行内存，下一步

网络选择nat

I/O控制器选择这块，都是跟着默认的走就行，例如：win2016服务器默认选择是 LSI Logic SAA，直接下一步

新建虚拟机向导也是按照默认选项走

创建新虚拟磁盘，最好是按照默认磁盘大小进行分配，这里选择60g

资源足够就按照默认的来

之后就是下一步下一步，选项都按照默认的来直到完成，虚拟机会开机到安装操作系统不用管等一阵就好了

2.3.2 Web-Windows server 2008

单域靶场环境下载链接

跟上面一样，到这命名为hacker.com-Web-Windows Server 2008 x64，文件夹位置在之前F盘建的

资源可以多给，40g磁盘、2处理2核、4g运行内存，其他的按照默认的来

2.3.3 普通办公PC1 Windows 10

单域靶场环境下载链接

密钥选择专业版，操作系统选择专业版

命名：hacker.com-1PC-Windows 10 x64，安装位置同之前一样在F盘

资源给了2处理2核4g运行60g盘存，之后默认选择下一步到最后完成

2.3.4 普通办公PC2 Windows7

单域靶场环境下载链接

镜像选择：cn_windows_7_ultimate_x64_dvd_x15-66043.iso

选择专业版、专业版密钥，命令hack.com-2pc-Windows 7 x64，同样F盘，之后下一步默认到完成

2.4 关闭防火墙并改计算机名

2.4.1 Windows 2016

关闭防火墙

进入文件资源管理器

更改计算机名称，右键此电脑，选择属性，选择计算机名，点击更改

更改计算机名

此处会提示更改后重启服务器，先不重启，点击稍后重启。下一步就是关闭防火墙，找到控制面板

控制面板-系统安全-windows防火墙-启用或者关闭防火墙，全部选中关闭

这时候再直接重启

2.4.2 windows server 2008

菜单栏，找的计算机，右键属性

更改计算机名称为web，点击确定后，点击稍后重启

同上一样，找到控制面板

找到防火墙，直接关闭。之后就是重启

3.4.3 windows 10

同样更改计算机名，更改为1pc，同样找到控制面板，关闭防火墙，重启

菜单栏搜控制面板，之后一样操作关闭防火墙

3.4.4 Windows 7

同上，更改计算机名为2pc，关闭防火墙，重启

同样 控制面板找到防火墙直接关闭再重启

2.5 计算机网络配置静态IP和DNS

按照以下地址进行配置

windows server 2016  域控  DNS服务器
192.168.139.11
  
windows server 2008 网站服务器
192.168.139.22
  
windows 10 普通办公PC
192.168.139.33
  
windows 7 普通办公PC
192.168.139.44

2.5.1 Windows 2016

ipconfig查一下网络，IP是192.168.139.133，网关是192.168.139.2

把IP地址写到静态地址去，控制面板-网络和internet-网络连接，找到网卡，右键属性，找到IPv4

IP地址写192.168.139.11，网关IP地址写192.168.139.2，DNS服务器地址写本地地址，因为DC同时也是DNS服务器

再一次ipconfig查看一下，地址对了没问题了

2.5.2 win2008

同样的操作，将win2008的IP地址更改为192.168.138.22

右键属性

找到IPV4，此处把地址改成192.168.138.22，同时把DNS服务器改为DC，也就是192.168.138.11

2.5.3 windows 10

IP地址写192.168.139.33，DNS地址写到192.168.139.11

2.5.4 windows 7

IP地址写192.168.139.44，DNS地址写到192.168.139.11

2.6 DC安装域控服务和DNS服务

回到win2016主机，点击添加角色，直接下一步到第四步，勾选Active Directory服务，暂时只需要用到这个，随着域越来越大，所需要添加的服务就会越多

最后，下一步到最终为安装，完事之后点击关闭

2.7 提升到DC域控配置域名

在窗口右上角可以看到警告，点击进入

选择添加新林，填写域名：hacker.com

点击将此服务器提升为域控制器，选择添加新林，根域名设置成hacker.com
接下来会出现目录还原，就是出现一些意外情况下的还原密码，这里需要符合密码复杂度要求，参考：Hacker@123

DNS选项不需要设置，直接下一步

这里会分配一个域名，HACKER，如果域里面操作的话，就会用这个名称去代替，之后直接下一步、下一步到直接安装

域控制器升级的先决条件验证失败的原因之一是本地Administrator帐户没有设置密码。‌在Windows Server中，新建域时，本地Administrator帐户将自动成为域Administrator帐户，如果本地Administrator帐户没有设置密码，就会导致域控制器升级失败。
简单来说，就是给Administrator设置一个密码，1q2w3eQWE,./
现在来给它设置个密码：控制面板-用户账户-用户账户

点击配置高级用户配置文件属性

点击单击此处，点击用户，找到Administrator账户，右键设置密码，弹窗点击继续

完事后，回到先决条件检查，点击重新运行先决条件检查，没问题就直接安装

2.8 DC上添加域内用户

回到DC机器，服务器管理器，选择AD DS，右键到Active Directory用户和计算机

点击users，右键新建用户

姓名：web，用户登陆名：web，下一步

按照图片选项勾选

设置账户：web:QWEqwe@2008

接下来依次将windows10、windows7的账户1pc、2pc新建完，跟上述步骤一样
1pc：QWEqwe@10
2pc:QWEqwe@7

2.9 修改主机名称及加入域

windows 2008机器，菜单栏找到计算机，右键属性，回到更改计算名那，将工作组选项更改为域，写入域名hacker.com

点击确定，输入账户密码，之前添加的web账户的：web：QWEqwe@2008

提示加入成功，点击立即重启。之后回到域控那边，可以看到computer中已经添加成功，右键可以对这个主机进行操作

同样在win10、win7中，一样的操作加入域，一个用户对应一个密码
win10加入域：1pc:QWEqwe@10

win7加入域：2pc:QWEqwe@7

回到域控刷新后查看computer，有显示说明加入成功了

注意，win7家庭版是不支持加入域，需要用专业版的

3 域内外环境的区分

3.1 域外环境

回到win2008，登陆非域账户，也就是默认账户，web/空密码，使用whoami、net user /domain查询

3.2 域内环境

登录域账户，web/QWEqwe@2008，结果如下

3.3 区分技巧总结

方法1
通过whoami命令可以判断此时计算机登录的账户是否是域用户
输出的格式如果是 域名\用户名，则表示当前登录的用户是域用户。
输出的格式如果是 计算机名\用户名，则表示当前登录的用户是本地用户
方法2
通过net user /domain命令，
如果命令成功执行并显示了用户信息，则表示当前登录的用户是域用户。
如果命令失败并显示类似“无法联系到域控制器”的错误信息，则表示当前登录的用户是本地用户
注意：实际上如果域外用户权限为administrator，net user /domain也是可以成功运行，所以判断关键就是whoami的时候检查权限级别，如果非administrator权 限、net user /domain不能成功执行，那就是域外用户

4 域控主机定位

net time /domain回显出域名，之后可以直接ping 这个域名，就可以定位域控地址了

net time /domain

5 CS上线

5.1 木马未免杀-排除防火墙干扰

5.1.1 关闭windows defender

cs直接生成的马子是没有免杀的，所以需要关闭windows defender
win10机器需要关闭windows defender，其他windows机器也是一样关闭，首先在菜单栏，找到设置，点击更新与安全，点击windows defender，关闭全部

5.1.2 添加排除项

添加排除项，也可以不弄，因为已经关闭windows defender了，就不会扫描文件了

5.2 CS 开启监听

[ 常用工具篇 ] CobaltStrike(CS神器)基础(一) – 安装及设置监听器详解

开启监听，使用kali作为cs的服务端，首先开启服务端，客户端连接后开启监听

来到cs客户端

生成一个64位的马到桌面

选择监听器，之前新建的在选项中

将生成好的马复制粘贴到虚拟机，如果没有安装vmtools就没法粘贴进去，可以在马所在的目录开启一个http服务，让虚拟机访问http进行下载。

目录开启http服务，需要python3环境，命令：python -m http.server 80

回到虚拟机，双击1.exe，直接上线

这里需要说一下一些问题，kali和域环境的win机器，网络都是nat模式，1.exe通过http下载如果是域用户的话，需要DC机器同意，也就是登录DC主机的账户密码。
真实的域环境中，运行文件、安装软件、更改计算机配置、网络更改、等敏感操作基本都搞不了，但是也不全是，看域环境中这个主机的作用，如果是那种没啥作用的主机，可能就是随便搞，权限给足有些操作还是能搞，总之就是根据角色进行控制的
我这里的是Administrator/1q2w3eQWE,./，我这里演示的都是域用户登录

命令执行成功。
当然信息收集也可以用插件，也是比较方便，插件不是所有命令都可以执行，要看环境，所以还得是自己要学手动敲命令

插件装载，点击脚本管理器，选择插件文件夹里的cna文件，选中确定就可使用了。

需要注意的是，高版本的CS是有指纹，不同的CS是不可以连接，也就是，你在服务端启动的CS和客户端启动的CS要来自一个CS，不然无法连接，具体可以自己动手看报错，连接的时候会提示你匹配不成功

相关资源

内网渗透入门到精通
单域靶场环境下载链接
[ 常用工具篇 ] CobaltStrike(CS神器)基础(一) – 安装及设置监听器详解
关闭防火墙
[ 内网渗透实战篇-1 ] 单域环境搭建与安装&域环境判断&域控定位&CS插件装载&CS上线
[ 内网渗透实战篇-2 ] 父域子域架构的搭建与安装&域环境判断&域控定位&组策略&域森林架构配置&信任关系