内网安全-域环境&工作组&局域网探针方案
(此内容参考b站小迪师傅的公开课程学习特此记录)
1.一些基本概念知识:
内网拓扑图:
内网内有各种服务、安全设备以及个人电脑,一般DMZ多为web服务,大部分时候web服务与内网是隔绝,一些不得不对外开放的服务就放在DMZ内,内网不连接公网更加保证了安全。
先自行了解下工作组、域环境、域控(DC)、活动目录、集群、父域子域等的概念。
内网域大多都为windows系统,因为linux系统不便于管理且不够强大:
信息收集:
//基本信息:旨在了解当前服务器的计算机基本信息,为后续判断服务器角色,网络环境等做准备
systeminfo 详细信息
net start 启动服务
tasjlist 进程列表
schtasks 计划任务
//网络信息:旨在了解当前服务器的网络接口信息,为判断当前角色,功能,网络架构做准备
ipconfig /all 判断存在域-dns
net view /domain 判断存在域
net time /domain 判断主域
netstat -ano 当前网络端口开放
nslookup 收集到的域名 追踪来源地址同样课可以ping命令来获取ip。
//用户信息:旨在了解当前计算机或域环境下的用户及用户组信息,便于后期利用凭据进行测试
whoami /all 用户权限
net user 本地用户
net localgroup 本地用户组
net user /domain 获取域用户信息,与本地用户区分开!
net group /domain 获取域用户组信息
wmic useraccount get /all 涉及域用户详细信息
net group "Domain Admins" /domain 查询域管理员账户
net group "Enterprise Admins" /domain 查询管理员用户组
net group "Domain Controllers" /domain 查询域控制器
//知道了这些信息我们甚至可以跑字典爆破密码登录域控
区分有没有域环境,是工作组还是域:
同样是看域环境:
系统默认常见用户身份:
Domain Admins:域管理员(默认对域控制器有完全控制权)
Domain Computers:域内机器
Domain Controllers:域控制器
Domain Guest:域访客,权限低
Domain Users:域用户
Enterprise Admins:企业系统管理员用户(默认对域控制器有完全控制权)
凭据信息收集:
工具:
- 计算机用户 HASH,明文获取-mimikatz(win),mimipenguin(linux)
域内用户很有可能无法执行文件,权限不够,因此提权很重要,切换为同一服务上的其他非域的用户就可以执行mimikatz获取计算机信息。
- 计算机各种协议服务口令/密码获取-LaZagne(all),XenArmor(win)
两个cmd命令:
Netsh WLAN show profiles
Netsh WLAN show profile name="无线名称" key=clear
LaZagne:
XenArmor(收费,其实是一款恢复密码软件,各种密码都有记录,很变态):
收集这些密码信息目的是作为密码字典,爆破,对后续渗透很有利。
探针主机域控架构服务:
探针域控制器名及地址信息:
//系统自带命令最安全
net time /domain nslookup ping
for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.3.%I | findstr "TTL="
工具(但没免杀会被拦截):nbtscan 、nmap、masscan 及 PowerShell脚本 nishang 、empire等。
nishang(需要powershell修改策略):
执行该工具后进而端口扫描(查看目录对应文件等有演示语法,请看使用文档):
都是powershell命令,受影响限制比纯使用工具小些,有时间还是得学学powershell语言的:
#可能需要自己修改ip
Invoke-PortScan -StartAddress 192.168.3.0 -EndAddress 192.168.3.100 -ResolveHost -ScanPort
//自己电脑配置不够,着实玩不来这些靶机组成个内网,有能力的可以下vulstack的内网靶机系统练练手。