渗透测试--内网环境分析

内网渗透

       内网渗透是指获取目标服务器控制权之后，对其所处的内网环境进行渗透，收集内网中的各种信息，如资产信息。

内网外网简介

内网

局域网，网络种类，覆盖范围一般是方圆几千米之内，其具备的安装便捷、成本节约、扩展方便等特点使其在各类办公室内运用广泛。局域网可以实现文件管理、应用软件共享、打印机共享等功能，在使用过程当中，通过维护局域网网络安全，能够有效地保护资料安全，保证局域网网络能够正常稳定的运行。

外网

广域网（英语：Wide Area Network，缩写为 WAN），又称外网、公网。是连接不同地区局域网或城域网计算机通信的远程网。通常跨接很大的物理范围，所覆盖的范围从几十公里到几千公里，它能连接多个地区、城市和国家，或横跨几个洲并能提供远距离通信，形成国际性的远程网络。广域网并不等同于互联网。

内网与外网区别

1. 内网和外网的覆盖范围不一样，内网通常是一个学校、一个医院的网络，外网通常指Internet网；
2. 内网一般是用于局域网内部的计算机之间的互相通信，如果需要访问Internet，需要借助外网，一
般可以使用NAT技术实现内网访问外网；
3. 内网的IP地址一般使用私有地址，例如192.168.1.0/24；外网需要使用公网地址；

连通性判断

主要是看能够通过什么协议出网，主要有tcp\http\dns\icmp等协议。常见判断手法如下：

TCP协议：

vps：nc -lvvp 8888
target：nc vps-ip 8888

vps:

 target:

 TCP端口19988可以出网

DNS协议：

vps：nc -u -lvp 53
target：nslookup www.baidu.com vps-ip
dig @vsp-ip www.baidu.com

vps:

 target:

HTTP协议：

vps：nc -lvvp 80
target：curl vps-ip 80

vps:

 target:

ICMP协议：

vps：tcpdump icmp
target：ping vps-ip

端口判断

外网vps做监听，内网机器测试常见端口，或直接使用端口扫描器进行扫描。
常见能出去的端口有 80,8080,443,53,110,123 等。

代理服务器

还有一种是机器不能直接出来的，需要进行代理设置，这种多数是为了办公网段得办公人员进行上网用的。
常用的判断手法与情况如下：

查看网络连接看是否有连接其他机器的8080（不绝对）等端口，尝试ping –n 1 –a ip
是否有hostname类似于proxy的机器
IE直接代理情况

通过查询注册表得到：

REG QUERY "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer
#通过pac文件自动代理情况
REG QUERY "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v AutoConfigURL

从pac文件中查看其代理服务器IP及端口，然后通过curl来确定：

curl www.baidu.com //不通
curl -x proxy-ip:8080 www.baidu.com //通

Windows工作组

工作组简介
工作组(Work Group)是最常见最简单最普通的资源管理模式，就是将不同的电脑按功能分别列入不同的组中，以方便管理。
工作组 百度百科
1. 默认情况下所有计算机都处在名为 WORKGROUP 的工作组中
2. 工作组资源管理模式适合于网络中计算机不多，对管理要求不严格的情况。
3. 它的建立步骤简单，使用起来也很好上手。大部分中小公司都采取工作组的方式对资源进行权限分配和目录共享。
4. 相同组中的不同用户通过对方主机的用户名和密码可以查看对方共享的文件夹，默认共享的是
Users 目录。
5. 不同组的不同用户通过对方主机的用户名和密码也可以查看对方共享的文件夹。
6. 所以工作组并不存在真正的集中管理作用,工作组里的所有计算机都是对等的,也就是没有服务器和客户机之分的。

工作组的优点
在一个网络内，可能有上百台电脑，如果这些电脑不进行分组，都列在“网上邻居”中，电脑无规则的排列为我们访问资源带来不方便。为了解决这一问题，Windows98操作系统之后就引用了“工作组”这个概念，将不同的电脑按功能分别列入不同的组中，如软件部的电脑都列入“软件部”工作组中，网络部的电脑都列入“网络部”工作组中。你要访问某个部门的资源，就在“网上邻居”里找到那个部门的工作组名，双击就可以看到那个部门的电脑了。计算机通过工作组进行分类，使得我们访问资源更加具有层次化。工作组情况下资源可以相当随机和灵活的分布，更方便资源共享，管理员只需要实施相当低级的维护。

工作组的缺点
1. 缺乏集中管理与控制的机制
2. 没有集中的统一帐户管理
3. 没有对资源实施更加高效率的集中管理
4. 没有实施工作站的有效配置和安全性严密控制
5. 只适合小规模用户的使用
基于以上缺点，当计算机数量比较多，大型企业中网络规模大，需要统一的管理和集中的身份验证，并且能够给用户提供方便的搜索和使用网络资源的方式，工作组的组织形式就不合适了，于是域就出现了

Windows域环境

域简介
域（domain）：域是一个有安全边界的计算机集合（ 安全边界，意思是在两个域中，一个域中的用户无法访问另一个域中的资源）；域内资源由一台域控制器（Domain Controller，DC）集中管理，用户名和密码是放在域控制器去验证的。
将网络中多台计算机逻辑上组织到一起，进行集中管理，这种区别于工作组的逻辑环境叫做域，域是组织与存储资源的核心管理单元，在域中，至少有一台域控制器，域控制器中保存着整个域的用户帐号和安全数据库。
可以简单的把域理解成升级版的“工作组”，相比工作组而言，它有一个更加严格的安全管理控制机制，如果你想访问域内的资源，就必须拥有一个合法的身份登陆到该域中，而你对该域内的资源拥有什么样的权限，还需要取决于你在该域中的用户身份。

域在不同系统与软件中含义有所不同：域既是Windows网络操作系统的逻辑组织单元，也是Internet的逻辑组织单元，在Windows网络操作系统中，域是安全边界.

域网络的功能和特点
1. 权限集中管理
2. 便捷的资源访问
3. 可扩展性
4. 保密性加强
 

工作组和域的区别
工作组是对等网络，域是B/S架构，集中式管理

域控DC(Domain Control)

域控是用来管理所有客户端的服务器，它负责每一台联入的电脑和用户的验证工作，域内电脑如果想互相访问首先都得经过它的审核。域控是域架构的核心，每个域控制器上都包含了AD活动目录数据库。一个域中可能应该要有至少两个域控。一个作为DC，一个是备份DC。

AD活动目录

Active Directory：活动目录AD是域环境中提供目录服务的组件。在活动目录中，所有的网络对象信息以一种结构化的数据存储方式来保存，使得管理员和用户能够轻松地查找和使用这些信息。

在活动目录中记录的信息，被分为两大部分，一部分保存在活动目录数据库文件NTDS.dit 中，另一部分保存在被复制的文件系统上。

NTDS.dit

ntds.dit文件是域环境中域控上会有的一个文件，这个文件存储着域内所有用户的凭据信息(hash)。非域环境也就是在工作组环境中，有一个sam文件存储着当前主机用户的密码信息,想要破解sam文件与ntds.dit文件都需要拥有一个system文件。

...