内网渗透-基础知识&信息收集

Posted 2021-05-15 mrob0t

内网概述:

内网也指局域网(Local Area Network,LAN).是指在某一区域内由多台计算机互联成的计算机组。

一般是方圆几千米以内。局域网可以实现文件管理，应用软件共享，打印机共享，工作组内的历程安排，电子邮件和传真通信服务等功能

工作组（Work Group）:

这个概念是为了解决单位内成百上千台电脑互相连接组成的局域网中寻找某台电脑很困难的问题，将不同的电脑按功能（或者部门）分别列入不同的工作组中。

域(Domain):

域是一个有安全边界的计算机集合（安全边界意思是在两个域中一个域中的用户无法访问另一个域内的资源），相比工作组而言，更加便于统一管理，更加安全。

域控制器(Domain Controller 简写为DC)

是一个域中的一台类似管理服务器的计算机，相当于门卫，拿下它就相当于拿下了整个域内所有计算机

活动目录(Active Directory 简写为AD):

是域环境中提供目录服务的组件。如果将企业的内网看成字典，内网里的资源就是字典的内容，

AD就相当于是字典的索引

典型域拓扑:

 

 

 

 

DMZ(Demilitarized Zone)隔离区:

它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区。该缓冲区位于企业内部网络和外部网络之间的小网络区域内。在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络。因为这种网络部署，比起一般的防火墙方案，对来自外网的攻击者来说又多了一道关卡。

 

 

 

单域:

小公司里一个域就可以满足所需，但是至少要有两个域服务器，一个作为DC，一个作为备份DC

父域和子域:

出于管理等需求，需要在网络中划分多个域，第一个域称为父域，各分公司的域称为该域的子域。

域树，域森林:

 

 

 

域树指若干个域通过建立信任关系组成的集合。两个域之间相互访问需要建立信任关系。

 

 

 

 

 

信息收集:

一.基本的信息收集操作

为了了解当前计算机基本信息，为后续判断服务器角色，网络环境等做准备

相关命令:

systeminfo 详细信息

net start 启动服务

tasklist 进程列表

schtasks 计划任务

二.网络信息收集操作

为了了解当前服务器的网络接口信息，为判断当前角色，功能，网络架构做准备

相关命令:

ipconfig /all 通过主DNS处-判断是否存在域,

net view /domain 判断存在域

net time /domain 判断主域

netstat -ano 查看当前网络端口开放情况

nslookup 域名 追踪来源地址

三.用户信息收集操作

为了了解当前计算机或域环境下的用户及用户组信息，便于后期利用凭据进行测试

系统默认常见用户身份:

Domain Admins:域管理员（默认对域控制器有完全控制权）

Domain Controllers:域控制器

Domain Guest:域访客，权限低

Domain Users:域用户

Enterprise Admins:企业系统管理员用户（默认对域控制器有完全控制权）

相关用户收集操作命令:

whoami /all 用户权限

net config workstation 登录信息

net user 本地用户

net localgroup 本地用户组

net user /domain 获取域用户信息

net group /domain 获取域用户组信息

wmic useraccount get /all 涉及域用户详细信息

net group "Domain Admins" /domain 查询域管理员账户

net group "Enterprise Admins" /domain 查询管理员用户组

net group "Domain Controllers" /domain 查询域控制器

四.凭据信息收集

为了收集各种密文，明文，口令等，为后续横向渗透做好测试准备

神器:

windows平台下的mimikatz

https://github.com/gentilkiwi/mimikatz/

linux平台下的mimipenguin

https://github.com/huntergregal/mimipenguin

计算机各种服务口令获取

windows下的XenArmor,很强大，但是收费

全平台的LaZagne,挺鸡肋，但是免费

五.探针主机域控架构服务

为后续横向渗透做准备，针对应用，协议等各类攻击手法

探针域控制器名及地址信息

net time /domain nslookup ping

探针域内存活主机及地址信息

第三方工具: nbtscan 192.168.3.0/24

不推荐，因为需要免杀等原因

第三方工具:nmap masscan Powershell渗透框架NiShang empire等

一句话命令

for /L %I in (1,1,254) DO @ping -w -n 1 192.168.3.%I |findstr "TTL="

基于PowerShell的渗透测试框架Nishang的使用

#设置执行策略

Set-ExecutionPolicy RemoteSigned

#导入模块

Import-Module .\\nishang.psml

#获取模块nishang的命令函数

Get-Command -Module nishang

#获取常规计算机信息

Get-Information

#端口扫描（查看目录对应文件有演示语法，其他同理）

Invoke-PortScan -StartAddress 192.168.3.0 -EndAddress

192.168.3.100 -ResolveHost -ScanPort

#其他功能：删除补丁，反弹shell，凭据获取等