内网渗透- 内网渗透的基本知识

最新推荐文章于 2024-09-16 23:17:14 发布

忆南呦

最新推荐文章于 2024-09-16 23:17:14 发布

阅读量1k

点赞数 22

分类专栏：内网渗透文章标签：安全

本文链接：https://blog.csdn.net/qq_64177395/article/details/142220173

版权

内网渗透专栏收录该内容

1 篇文章 0 订阅

订阅专栏

攻击流程讲解

内网介绍

内网也指局域网，是指在某一区域内由多台计算机互联而成的计算机组，组网范围通常在数千米以内。在局域网中，可以实现文件管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮件和传真通信服务等。内网是封闭的，可以由办公室内的两台计算机组成，也可以有一个公司内的大量计算机组成

工作组介绍

1、工作组的介绍

在一个大型单位里,可能有成百上千台计算机互相连接组成局域网,它们都会列在"网络"(网上邻居) 内。如果不对这些计算机进行分组,网络的混乱程度是可想而知的为了解决这一问题,产生了工作组( Work Group)这个概念。将不同的计算机按功能(或部门)分别列入不同的工作组,例如技术部的计算机都列入"技术部"工作组、行政部的计算机都列入"行政部"工作组。要想访问某个部门的资源,只要在"网络"里双击该部门的工作组名就可以看到该部门的所有计算机了。相比不分组的情况,这样的情况有序得多(尤其对大型局域网来说)。

工作组如图

2、加入工作组

加入工作组:加入工作组的方法很简单。右击桌面上的"计算机"图标,在弹出的快捷菜单中选择"属性" 选项,然后依次单击"更改设置"和"更改"按钮,在"计算机名"输入框中输入计算机的名称,在"工作组"输入框中输入想要加入的工作组的名称

我们拿一台windows7的系统来做演示

打开控制面板--》系统与安全--》系统》下面有个计算机名称、域和工作组设置，在那个专栏里有个更改设置--》双击打开

打开之后就是这个页面，这里面就会显示你的当前计算机的名称，以及工作组，我们点击更改按钮

进来以后就是这个界面，我们可以更改它的计算机名称，以及可以随意加入、创建一个工作组

假设我现在要更改一个计算机名称，和它对应的一个工作组

例：计算机名称改为zhangsan 工作组改为it

我们点击确定之后，计算机会加载一会，稍后就会重启计算机，重启过后，我们就可以看到我们所更改的计算机名称和工作组均已成功修改

3、创建工作组

创建工作组:如果输入的工作组的名称在网络中不存在,就相当于新建了一个工作组(当然,暂时只有当前这台计算机在该工作组内)。单击"确定"按钮, Windows会提示需要重新启动。在重新启动之后进入"网络",就可以看到所加入的工作组的成员了。当然,也可以退出工作组(只要修改工作组的名称即可)

4、退出工作组

只要将工作组名称改动即可。不过在网上别人照样可以访问你的共享资源。你也可以随便加入同一网络上的任何其它工作组。“工作组”就像一个可以自由进入和退出的“社团”，方便同一组的计算机互相访问。

5、访问工作组

文件–>网络，就可以查看到我们工作组中的其他计算机了，当你要访问某台计算机时，点击它，然后输入该主机的用户名和密码即可看到该主机共享的文件夹。

双击打开PC-2008，弹出了登陆验证

输入对方的账号密码后，我们就能看到对方的共享文件了

6、工作组优缺点

优点：

1、方便管理和维护

2、资源分配方便和灵活

缺点：

1、缺乏集中管理与控制的机制

2、没有集中的统一帐户管理

3、只适合小规模用户的使用

域介绍

域的介绍

Windows域是计算机网络的一种形式，其中所有用户帐户，计算机，打印机和其他安全主体都在位于称为域控制器的一个或多个中央计算机集群上的中央数据库中注册。身份验证在域控制器上进行。在域中使用计算机的每个人都会收到一个唯一的用户帐户，然后可以为该帐户分配对该域内资源的访问权限。

假如有一个以下的场景：

一个公司有200台计算机,我们希望某台计算机的账户Aan可以访每台计算机的资源或者在每台计算机上登录。那么, 在工作组环境中,我们必须在这200台计算机各自的SAM数据库中创建Aan这个账户。一旦Alan想要更换密码,必须进行200次更改密码的操作!这个场景中只有200台计算机,如果有5000计算机或者上万台计算机呢?这就是一个典型的域环境应用场景

域 ( Domain)是一个有安全边界的计算机集合(安全边界的意思是,在两个域中,一个域中的用户无法访问另一个域中的资源)可以简单地把域理解成升级版的工作组。与工作组相比,域的安全管理控制机制更加严格。用户要想访问域内的资源,必须以合法的身份登录域,而用户对域内的资源拥有什么样的权限,还取决于用户在域内的身份

域控制器( Domain Controller,DC)是域中的一台类似管理服务器的计算机

域控制器中存在由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当计算机连接到域时,域控制器首先要鉴别这台计算机是否属于这个域,以及用户使用的登录账号是否存在、密码是否正确。如果以上信息有一项不正确,域控制器就会拒绝这个用户通过这台计算机登录。如果用户不能登录,就不能访问服务器中的资源。

域控制器是整个域的通信枢纽,所有的权限身份验证都在域控制器上进行,也就是说,域内所有用来验证身份的账号和密码散列值都保存在域控制器中

单域

通常,在一个地理位置固定的小公司里,建立一个域就可以满足需求。在一个域内,一般要有至少两台域服务器,一台作为DC,另一台作为备份DC。

父域和子域

出于管理及其他需求,需要在网络中划分多个域。第一个域称为父域,各分部的域称为该域的子域。例如大公司的各个分公司位于不同的地点,就需要使用父域及子域。如果把不同地点的分公司放在同一个域内,那么它们之间在信息交互(包括同步、复制等)上花费的时间就会比较长,占用的带宽也会比较大(在同一个域内,信息交互的条目是很多的,而且不会压缩; 在不同的域之间,信息交互的条目相对较少, 而且可以压缩)。这样处理有一个好处,就是分公司可以通过自己的域来管理自己的资源。还有一种情况是出于安全策略的考虑(每个域都有自己的安全策略)例如,一个公司的财务部希望使用特定的安全策略(包括账号密码策略等)、那么可以将财务部作为一个子域来单独管理

域树

域树(Tree)是多个域通过建立信任关系组成的集合。一个域管理员只能管理本域,不能访问或者管理其他域。如果两个域之间需要互相访问,则需要建立信任关系，信任关系是连接不同域的桥梁。域树内的父域与子域,不但可以按照需要互相管理、还可以跨网络分配文件和打印机等设备及资源,从而在不同的域之间实现网络资源的共享与管理、通信及数据传输。

在一个域树中,父域可以包含多个子域。子域是相对父域来说的,指的是域名中的每一个段。各子域之间用点号隔开,一个"."代表一个层次。放在域名最后的子域称为最高级子域或一级域,它前面的子域称为二级域

域森林

域森林( Forest)是指多个域树通过建立信任关系组成的集合。例如,在一个公司兼并场景中某公司使用域树 abc. com,被兼并的公司本来有自己的域树 abc. net,域树abc.net无法挂在域树abc.com下。所以,域树abc.com与域树 abc. net之间需要通过建立信任关系来构成域森林。通过域树之间的信任关系,可以管理和使用整个域森林中的资源,并保留被兼并公司自身原有的特性,如下图所示。

域名服务器

域名服务器( Domain Name Server,DNs)是指用于实现域名( Domain Name)和与之相对的IP地址( IP Address)转换的服务器。从对域树的介绍中可以看出,域树中的域名和DNS域名非常相似。而实际上,因为域中的计算机是使用DNS来定位域控制器、服务器及其他计算机、网络服务的,所以域的名字就是DNS域的名字。在内网渗透测试中,大都是通过寻找DNS服务器来确定域控制器的位置的(DNS 服务器和域控制器通常配置在同一机器上）

一般来说域名服务器和域控制器（DC）是同一台

域环境搭建

构建内网环境

在学习内网渗透测试时,需要构建一个内网环境并搭建攻击主机,通过具体操作理解漏洞的工作原理,从而采取相应的防范措施。

一个完整的内网环境,需要各种应用程序、操作系统和网络设备,可能比较复杂。我们只需要搭建其中的核心部分,也就是Linux服务器和 Windows服务器。在本节中,将详细讲解如何在 Windows平台上搭建域环境

域环境介绍

通常所说的内网渗透测试,很大程度上就是域渗透测试。搭建域渗透测试环境,在 Windows的活动目录环境下进行一系列操作,掌握其操作方法和运行机制,对内网的安全维护有很大的帮助。常见的域环境是使用 Windows server2012R2、Windows7或者 Windows Server2003操作系统搭建Windows域环境。

在下面的实验中,将创建一个域环境。配置一台 WindowsServer2012R2服务器,将其升级为域控制器,然后将 Windows Server2008R2计算机和 Windows7、Windows Server2003计算机加入该域。四台机器

搭建环境

1、设置服务器

在虚拟机中安装 Windowsserver2012R2操作系统,设置其P地址为192.168.41.10子网掩码为255252550,DNS指向本机IP地址。

2、更改计算机名

使用本地管理员账户登录,将计算机名改为"DC"(可以随意取名),如图所示。在将本机升级为域控制器后,机器全名会自动变成"DC.xxx.com"。更改后,需要重启服务器

3、安装域控制器和DNS服务

接下来,在 Windows server2012R2服务器上安装域控制器和DNS服务。登录 WindowsServer2012R2服务器,可以看到"服务器管理器"窗口,如图所示

单击【添加角色和功能】选项,进入添加角色和功能向导界面。在【开始之前】部分, 本保持默认设置。单击下一步按钮,进入【安装类型】部分,选择基于角色或者基于功能的安装选项。单击下一步按钮,进入【服务器选择】部分。目前,在服务器池中只有当前这台机器,保持默认设置。单击下一步按钮,在【服务器角色】部分勾选【 Active Directory域服务】和【DNS服务器】复选框

在"功能"界面保持默认设置,单击"下一步"按钮,进入"确认"部分。确认需要安装的组件,勾选"如果需要,自动重新启动目标服务器"复选框,,然后单击"安装" 按钮

4、升级服务器

安装 Active Directory域服务后,需要将此服务器提升为域控制器。单击"将此服务器提升为域控制器"选项(如果不慎单击了"关闭"按钮,可以打开"服务器管理器"界面进行操作),在界面右上角可以看到一个中间有"!"的三角形按钮。单击该按钮,如图所示。

接着,进入" ActiveDirectory域服务配置向导"界面,在"部署配置"部分单击选中"添加新林(F)"单选按钮,然后输入根域名"hack.com"(必须使用和DNS命名约定的根域名)

在【域控制器选项】部分,将林功能级别、域功能级别都设置为" WindowsServer2012R2",创建域林时,在默认情况下应选择DNS服务器,林中的第一个域控制器必须是全局目录服务器且不能是只读域控制器(RODC)。然后,设置目录服务还原模式的密码(在开机进入安全模式修复活动目录数据库时将使用此密码)

在【DNS选项】部分会出现关于DNS的警告。不用理会该警告,保持默认设置。单击"下一步"按钮,进入"其他选项"部分。在"NetBIOS域名"(不支持DNS域名的旧版本操作系统,例如Windows98、NT,需要通过NetBIOs域名进行通信) 部分保持默认设置。单击"下一步"按钮,进人"路径"部分,指定数据库、日志、SYSVOL文件夹的位置,其他选项保持默认设置。单击"下一步"按钮,保持默认设置。单击"下一步"按钮,最后单击"安装按钮。安装后,需要重新启动服务器

服务器重新启动后,需要使用域管理员账户( HACKE Administrator)登录。此时,在"服务器管理器"界面中就可以看到 ADDS、DNS服务了

5、创建 Active Directory用户

为 Windows Server2008R2/2003和Windows7用户创建域控制器账户。如图1-26所示,在" Active Directory用户和计算机"界面中选择Users"目录并单击右键,使用弹出的快捷菜单添加用户。

创建用户

输入密码，并勾选密码永不过期

6.将机器加入域

将Windows server 2008 计算机添加到该域中。如图所示,设置IP地址为192.168.41.20,设置DNS 地址为 192.168.41.10（域控本身IP）,然后运行" ping hack.com"命令进行测试。

ping 域控

接下来,将主机添加到域中,将计算机名改为"PC-2008"域名改为"hack.com"。单击"确定"按钮,会弹出要求输入拥有权限的域账户名和密码的对话框。在本实验中,输入域管理员的账号和密码,如图所示。操作完成后,会出现需要重新启动计算机的提示。

活动目录

活动目录介绍

活动目录( Active Directory,AD)是指域环境中提供目录服务的组件目录用于存储有关网络对象(例如用户、组、计算机、共享资源、打印机和联系人等)的信息。目录服务是指帮助用户快速、准确地从目录中找到其所需要的信息的服务。活动目录实现了目录服务,为企业提供了网络环境的集中式管理机制

活动目录的逻辑结构包括前面讲过的组织单元(OU)、域、域树、域森林。域树内的所有域共享一个活动目录,这个活动目录内的数据分散存储在各个域中,且每个域只存储该域内的数据。

活动目录主要提供以下功能

账号集中管理:所有账号均存储在服务器中,以便执行命令和重置密码等。软件集中管理:统一推送软件、安装网络打印机等。利用软件发布策略分发软件,可以让用户自由选择需要安装的软件。环境集中管理:统一客户端桌面、IE、TCPP协议等设置。增强安全性:统一部署杀毒软件和病毒扫描任务、集中管理用户的计算机权限、统一制定用户密码策略等。可以监控网络,对资料进行统一管理。更可靠,更短的宕机时间:例如,利用活动目录控制用户访问权限,利用群集、负载均衡等技术对文件服务器进行容灾设置。网络更可靠,宕机时间更短。活动目录是微软提供的统一管理基础平台,ISA、 Exchange、SMS等都依赖这个平台

组织单元介绍

组织单元（OU）是域中包含的一类目录对象如用户、计算机和组、文件与打印机等资源，是一个容器，可以在OU上部署组策略

组织单元是域中包含的一类目录对象如用户、计算机和组、文件与打印机等资源。是一个容器。组织单元还具有分层结构可用来建立域的分层结构模型，进而可使用户把网络所需的域的数量减至最小

现在有以下的需求，一个公司，人员需求如下

创建组织单元

添加人员

在创建的组织单元里新建用户

委派控制

因为财务部门有20个人，不能有问题就去找网络管理员，需要委派控制权限给财务部门一个代表，让他去执行，也就是说在财务部门找一个代表，他由相应的权限去管理财务部门的计算机和用户

域内权限

组

组( Group)是用户账号的集合。通过向组分配权限,就可以不必向每个用户分别分配权限。例如,管理员在日常工作中,不必为单个用户账号设置独特的访问权限,只需要将用户账放到相应的安全组中。管理员通过配置安全组访问权限,就可以为所有加入安全组的用户账号配置同样的权限。使用安全组而不是单个的用户账号,可以大大简化网络的维护和管理工作

域本地组

域本地组成员来自林中任何域中的用户账户、全局组和通用组以及本域中的域本地组，在本域范围内可用。

全局组

全局组成员来自于同一域的用户账户和全局组，在林范围内可用

通用组

通用组成员来自林中任何域中的用户账户、全局组和其他的通用组，在全林范围内可用可以这样简单地记忆: 域本地组来自全林,作用于本域; 全局组来自本域,作用于全林; 通用组来自林,作用于全林。

案例一：

有一个打印机连接域控，设置域本地组赋予使用打印机的权限，然后设置全局组，将人员都加入到全局组，然后将全局组加入到域本地组就可以了

案例二

有三个域hack.com(在北京)，sh.hack.com(在上海)，gz.hack.com(在广州)组成W林，然后北京财务部门，需要进行结算，但是数据在北京的一台服务器上权限比较高只有北京财务人员可以使用，同时因为北京人数不够，需要上海和广州支援，这个时候怎么办？

1、只需要在北京的建立一个域本地组，然后赋予域本地组权限可以访问财务的数据机器

2、在上海和广州分别建立全局组

3、在北京的域控上将上海和广州的全局组加入进来

A-G-DL-P策略

A-G-DL-P策略是指将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限

A表示用户账号( Account)

G表示全局组( Global Group)

U表示通用组( Universal Group)

DL表示域本地组( Domain Local Group)

P表示资源权限( Permission,许可)

按照AG-DL-P策略对用户进行组织和管理是非常容易的。在AGDL-P策略形成以后,当需要给一个用户添加某个权限时,只要把这个用户添加到某个本地域组中就可以了。

重要的域本地组

• 管理员组( Administrators)的成员可以不受限制地存取计算机/域的资源。它不仅是最具权力的一个组,也是在活动目录和域控制器中默认具有管理员权限的组。该组的成员可以更改 Enterprise Admins、 Schema admins和 Domain admins组的成员关系,是域森林中强大的服务管理组

• 远程登录组( Remote Desktop Users)的成员具有远程登录权限。

• 打印机操作员组( Print Operators)的成员可以管理网络打印机,包括建立、管理及删除网络打印机, 并可以在本地登录和关闭域控制器。

• 账号操作员组( Account Operators)的成员可以创建和管理该域中的用户和组并为其设置权限,也可以在本地登录域控制器,但是,不能更改属于 Administrators或 Domain admins组的账户,也不能修改这些组。在默认情况下,该组中没有成员。

• 服务器操作员组( Server Operators)的成员可以管理域服务器,其权限包括建立管理删除任意服务器的共享目录、管理网络打印机、备份任何服务器的文件、格式化服务器硬盘锁定服务器、变更服务器的系统时间、关闭域控制器等。在默认情况下,该组中没有成员。

• 备份操作员组( Backup Operators)的成员可以在域控制器中执行备份和还原操作,并可以在本地登录和关闭域控制器。在默认情况下,该组中没有成员

• 再介绍几个重要的全局组、通用组的权限。

• 域管理员组( Domain Admins)的成员在所有加入域的服务器(工作站)、域控制器和活动目录中均默认拥有完整的管理员权限。因为该组会被添加到自己所在域的 Administrators 组中,因此可以继承 Administrators组的所有权限。同时,该组默认会被添加到每台域成员计算机的本地 Administrators组中,这样, Domain admins组就获得了域中所有计算机的所有权。如果希望某用户成为域系统管理员,建议将该用户添加到 Domain admins组中,而不要直接将该用户添加到 Administrators组中。

• 企业系统管理员组( Enterprise Admins)是域森林根域中的一个组。该组在域森林中的每个域内都是 Administrators组的成员,因此对所有域控制器都有完全访问权。

• 架构管理员组( Schema admins)是域森林根域中的一个组,可以修改活动目录和域森林的模式。该组是为活动目录和域控制器提供完整权限的域用户组,因此,该组成员的资格是非常重要的。

• 域用户组( Domain users)中是所有的域成员。在默认情况下,任何由我们建立的用户账号都属于 Domain Users组,而任何由我们建立的计算机账号都属于 Domain Computers组。因此,如果想让所有的账号都获得某种资源存取权限,可以将该权限指定给域用户组,或者让域用户组属于具有该权限的组。域用户组默认是内置域 Users组的成员。

安全域的划分

划分安全域的目的是将一组安全等级相同的计算机划入同一个网段。这个网段内的计算机拥有相同的网络边界,并在网络边界上通过部署防火墙来实现对其他安全域的网络访问控制策略，从而对允许哪些IP地址访问此域、允许此域访问哪些IP地址和网段进行设置。这些措施,将使得网络风险最小化, 当攻击发生时,可以尽可能地将威胁隔离,从而降低对域内计算机的影响。

在一个用路由器连接的内网中,可以将网络划分为三个区域:

安全级别最高的内网;

安全级别中等的DMZ;

安全级别最低的外网

在配置一个拥有DMZ的网络时,通常需要定义如下访问控制策略,以实现其屏障功能。

内网可以访问外网:内网用户需要自由地访问外网。在这一策略中,防火墙需要执行NAT。

内网可以访问DMZ:此策略使内网用户可以使用或者管理DMZ中的服务器

外网不能访问内网:这是防火墙的基本策略。内网中存储的是公司内部数据,显然,这些数据一般是不允许外网用户访问的(如果要访问,就要通过VPN的方式来进行)

外网可以访问DMZ:因为DMZ中的服务器需要为外界提供服务,所以外网必须可以访问DMZ。同时,需要由防火墙来完成从对外地址到服务器实际地址的转换。

DMZ不能访问内网:如果不执行此策略,当攻击者攻陷DMZ时,内网将无法受到保护

DMZ不能访问外网:此策略也有例外。例如,在DMZ中放置了邮件服务器,就要允许访问外网,否则邮件服务器无法正常工作

办公区:公司员工日常的工作区,一般会安装防病毒软件、主机入侵检测产品等。办公区一般能够访问 DMZ。如果运维人员也在办公区,那么部分主机也能访问核心数据区(很多企业还会使用堡垒机来统一管理用户的登录行为)攻击者如果想进入内网,一艘会使用鱼叉攻击、水坑攻击,当然还有社会工程学手段。办公区人员多而杂,变动也很频繁,在安全管理上可能存在诸多漏洞,是攻击者进人内网的重要途径之

核心区:存储企业最重要的数据、文档等信息资产,通过日志记录、安全审计等安全措施进行严密的保护,往往只有很少的主机能够访问。从外部是绝难直接访问核心区的。一般来说,能够直接访问核心区的只有运维人员或者IT部门的主管,所以,攻击者会重点关注这些用户的信息(攻击者在内网中进行横向移动攻击时,会优先查找这些主机）

域中计算机的分类

域中计算机的分类在域结构的网络中,计算机的身份是不平等的,有域控制器、成员服务器、客户机、独立服务器四种类型。

1、域控制器

域控制器用于管理所有的网络访问,包括登录服务器、访问共享目录和资源。域控制器中存储了域内所有的账户和策略信息,包括安全策略、用户身份验证信息和账户信息。在网络中,可以有多台计算机被配置为域控制器,以分拒用广的登录、访问等操作。多个域控制器可以一起工作,自动备份用户账尸和活动目录数据。这样,即使部分域控制器痪,网络访问也不会受到影响,提高了网络的安全性和稳定性