内网渗透

发布于 2023-02-01  720 次阅读

基础知识

工作组

在大型单位里面一个局域网中可能存在成百上千的电脑,因此需要将这些电脑进行分组处理,于是就产生了工作组的概念。

在工作组里面所有计算机都是平等的

在工作组中我们确实可以在一定程度上共享资源,但是有这样一个情况,我需要某个账户v4eky能够登录所有的设备,在每一台机子上都对这个账户进行操作是极为不方便的。因此域的概念就出现了

是一个有安全边界的计算机合集,就像是更加安全和方便的工作组。用户想要访问域的资源需要有合法的权限。

域控制器(DC),它是域中一个类似于管理员的计算机,他负责所有域内的计算机和用户的验证工作,域内的计算机如果想互相访问就需要域管理器的审核。域验证相关的信息都在域控制器中的一个数据库中。

域的种类

  • 单域。单个的域
  • 父域和子域:两个域在默认情况下不能互通,但是在做了全局组之后,父域用户可以登录子域,向下继承
  • 域树:多个域通过父域和子域信任关系建立的集合
  • 域森林:多个域树通过信任关系组成的集合
  • 域名服务器,通常情况下dns服务器和域控制器在同一个机器上

活动目录

活动目录是指域环境中提供目录服务的组件,这个目录储存着内网中有关的网络对象和逻辑结构。把内网看成一本字典,内网中的各种关系和资源就是字典内容,活动目录就是索引。相当于一个目录数据库

活动目录功能

  • 账号集中管理
  • 软件集中管理
  • 环境集中管理
  • 安全性保障

活动目录就是微软提供的统一管理基础服务。

域控(DC)与活动目录区别(AD)

这是面试时,在内网方面经常被问到的问题。说白了,装有AD的计算机就是DC

域内权限

  • 域本地组:来自所有域,只能访问本域资源(Domain Local Group)<域本地组:来自全林用于本域>
  • 全局组:来自本域,能访问所有建立信任关系的域的资源(global Group)<全局组:来自本域用于全林>
  • 通用组:来自所有域,能访问所有域的资源(Universal Group)<通用组:来自全林用于全林>
  • A-G-DL-P策略:A(account),G(global Group),U(Universal Group),DL(Domain Local Group),P(Permission).

A-G-DL-P策略是通过组嵌套的权限继承关系来管理权限,通常是本地组嵌套通用组实现权限分发

主要域本地组:

  • 管理员组:最有权力的组,该组的成员可以不受限制地存取计算机/域内的资源。它不仅是最具权利的一个组,也是在活动目录和域控制器中默认具有管理员权限的组。
  • 远程登录组(Remote Desktop Users):该组的成员具有远程登录权限。
  • 打印机操作员组(Print Operators):该组的成员可以管理网络打印机,包括建立,管理及删除网络打印机,并可以在本地登录和关闭域控制器。
  • 账号操作员组(Account Operators):该组的成员可以创建和管理该域中的用户和组并为其设置权限,也可以在本地登录域控制器。但是,不能更改属于Administrators或Domain Admins组的账号,也不能更改这些组。在默认情况下,该组中没有成员。
  • 服务器操作员组(Server Operators):该组的成员可以管理域服务器,其权限包括建立、管理、删除任意服务器的共享目录、管理网络打印机、备份任何服务器的文件、格式化服务器硬盘、锁定服务器、变更服务器的系统时间、关闭域控制器等。在默认情况下,该组中没有成员。
  • 备份操作员组(Backup Operators):该组的成员可以在域控制器中执行备份和还原操作,并可以在本地登录和关闭域控制器。在默认情况下,该组中没有成员。

内网信息搜集

在内网中,防御措施通常情况下没有外网那么严格,因此信息搜集的地位更加突出。(有蓝队除外)

当测试人员打入内网后,通常情况下需要

  • 对当前机器角色进行判断
  • 对当前机器所处的网络环境和拓扑结构进行判断
  • 对当前机器所处区域进行判断

搜集本机信息

查询网络配置信息

ipconfig /all

查询操作系统信息

systeminfo | findstr /B /C:"OS Name" /C:"OS Version"
wmic product get name,version

查询机器相关服务及进程信息

wmic service list brief
wmic procees list brief

查询开机自启任务及计划任务信息

wmic startup get command,caption
schtasks /query /fo list /v

查询开机时间及用户在线时间

net statistics workstation

查询机器用户相关信息

net user
net localgroup administrators //本地管理员
query user || qwinsta

查询本机与其他机器的连接和共享资源信息

net session
net share
wmic share get name,path,status
netstat -ano
route print
arp -a

系统补丁信息

systeminfo
wmic qfe get caption,description,hotfixid,installedon

防火墙相关配置

netsh firewall set opmode disable //2003之前关闭防火墙
netsh advfirewall set allprofires state off //2003之后关闭防火墙
netsh firewall show config //查看防火墙配置
netsh firewall add allowedprogram c://nc.exe "allow nc" enable//2003之前
netsh advfirewall firewall add rule name="pass nc" dir=in action=allow//2003之后

查询权限

查看当前权限

whoami

获取域sid

whoami /all

查询指定用户的详细信息

net user xxx /domain

判断是否存在域

  1. ipconfig /all
  2. systeminfo
  3. net config workstation
  4. net time /domain

探测域内存活主机

  1. netbios-nbt.exe
  2. icmp-ping
  3. arp-arpscan
  4. tcp,udp-scanline

扫描端口

  1. telnet
  2. metasploit
  3. nmap等等

域内基础信息收集

域查询

net view /domain

查询域内所有计算机

net view /domain:xxx

查询所有用户组列表

net group /domain

查询域成员列表

net group "domain computers" /domain

获取域密码策略

net account /domain

域之间的信任信息

nltest /domain_trusts

查找域控制器

  1. 查看域控机器名:nlt /DCLIST:xxx
  2. 通过时间查看
  3. 查看域控制器组
  4. netdom query pdc

获取域内用户和管理员信息

向域控查询

net user /domain

查看存在用户

dsquery user

域内详细信息

wmic useraccount get /all

查询本地管理员组用户

net localgroup administrators

域控定位

psloggedon.exe
netview.exe

各种敏感信息搜集

内网隧道技术

隧道基础

网络层:ipv6 icmp gre
传输层:tcp udp 其他端口
应用层:ssh http https dns

内网连通性检测

icmp ping
tcp nc
http curl
dns nslookup

隧道工具推荐 

icmp:icmpsh pingtunnel(需要关闭主机本身的icmp协议答应)
tcp udp(端口转发):lcx netcat(nc) powercat
ssh:ssh
DNS:dnscat2 iodine
socks:EarthWorm(ew) reGeorg sSocks SockCap64 proxifier proxychains

win系统提权

内核漏洞exp提权

首先查看系统漏洞补丁,及系统版本

然后可以拿到这个网站比对,找到未打补丁的漏洞

配置错误提权

系统服务权限配置错误

  • 服务未运行:替换原来的服务
  • 服务已运行且无法被终止:通过dll劫持技术并重启提权

注册表键AlwaysinstallElevated

原因:用户开启了windows installer特权安装

可信任服务路径漏洞

当windows想要找到c:\Program Files\Some Folder\Service.exe(没有引号)并执行时

windows会依次找到下列程序(若存在)并执行

  • C:\Program.exe
  • C:\Program Files\Some.exe
  • C:\program Flies\Some Folder\Service.exe

计划任务

常用应用:AccessChk

组策略首选项提权

  • 绕过UAC提权

令牌窃取提权

  • - rotten potato提权

域内横向移动

常用远程链接相关命令

ipc:net use \\ip\ipc$ "password" /user:Administrator

条件:149,445端口;管理员开启默认共享

windows系统hash值获取

  • getpass
  • pwDump7
  • QuarksPwDump
  • mimikatz

密码破解

hashcat

票据传递攻击

WMIC的使用

wmiexec