基础知识
工作组
在大型单位里面一个局域网中可能存在成百上千的电脑,因此需要将这些电脑进行分组处理,于是就产生了工作组的概念。
在工作组里面所有计算机都是平等的
域
在工作组中我们确实可以在一定程度上共享资源,但是有这样一个情况,我需要某个账户v4eky能够登录所有的设备,在每一台机子上都对这个账户进行操作是极为不方便的。因此域的概念就出现了
域是一个有安全边界的计算机合集,就像是更加安全和方便的工作组。用户想要访问域的资源需要有合法的权限。
域控制器(DC),它是域中一个类似于管理员的计算机,他负责所有域内的计算机和用户的验证工作,域内的计算机如果想互相访问就需要域管理器的审核。域验证相关的信息都在域控制器中的一个数据库中。
域的种类
- 单域。单个的域
- 父域和子域:两个域在默认情况下不能互通,但是在做了全局组之后,父域用户可以登录子域,向下继承
- 域树:多个域通过父域和子域信任关系建立的集合
- 域森林:多个域树通过信任关系组成的集合
- 域名服务器,通常情况下dns服务器和域控制器在同一个机器上
活动目录
活动目录是指域环境中提供目录服务的组件,这个目录储存着内网中有关的网络对象和逻辑结构。把内网看成一本字典,内网中的各种关系和资源就是字典内容,活动目录就是索引。相当于一个目录数据库
活动目录功能
- 账号集中管理
- 软件集中管理
- 环境集中管理
- 安全性保障
活动目录就是微软提供的统一管理基础服务。
域控(DC)与活动目录区别(AD)
这是面试时,在内网方面经常被问到的问题。说白了,装有AD的计算机就是DC
域内权限
- 域本地组:来自所有域,只能访问本域资源(Domain Local Group)<域本地组:来自全林用于本域>
- 全局组:来自本域,能访问所有建立信任关系的域的资源(global Group)<全局组:来自本域用于全林>
- 通用组:来自所有域,能访问所有域的资源(Universal Group)<通用组:来自全林用于全林>
- A-G-DL-P策略:A(account),G(global Group),U(Universal Group),DL(Domain Local Group),P(Permission).
A-G-DL-P策略是通过组嵌套的权限继承关系来管理权限,通常是本地组嵌套通用组实现权限分发
主要域本地组:
- 管理员组:最有权力的组,该组的成员可以不受限制地存取计算机/域内的资源。它不仅是最具权利的一个组,也是在活动目录和域控制器中默认具有管理员权限的组。
- 远程登录组(Remote Desktop Users):该组的成员具有远程登录权限。
- 打印机操作员组(Print Operators):该组的成员可以管理网络打印机,包括建立,管理及删除网络打印机,并可以在本地登录和关闭域控制器。
- 账号操作员组(Account Operators):该组的成员可以创建和管理该域中的用户和组并为其设置权限,也可以在本地登录域控制器。但是,不能更改属于Administrators或Domain Admins组的账号,也不能更改这些组。在默认情况下,该组中没有成员。
- 服务器操作员组(Server Operators):该组的成员可以管理域服务器,其权限包括建立、管理、删除任意服务器的共享目录、管理网络打印机、备份任何服务器的文件、格式化服务器硬盘、锁定服务器、变更服务器的系统时间、关闭域控制器等。在默认情况下,该组中没有成员。
- 备份操作员组(Backup Operators):该组的成员可以在域控制器中执行备份和还原操作,并可以在本地登录和关闭域控制器。在默认情况下,该组中没有成员。
内网信息搜集
在内网中,防御措施通常情况下没有外网那么严格,因此信息搜集的地位更加突出。(有蓝队除外)
当测试人员打入内网后,通常情况下需要
- 对当前机器角色进行判断
- 对当前机器所处的网络环境和拓扑结构进行判断
- 对当前机器所处区域进行判断
搜集本机信息
查询网络配置信息
ipconfig /all
查询操作系统信息
systeminfo | findstr /B /C:"OS Name" /C:"OS Version"
wmic product get name,version
查询机器相关服务及进程信息
wmic service list brief
wmic procees list brief
查询开机自启任务及计划任务信息
wmic startup get command,caption
schtasks /query /fo list /v
查询开机时间及用户在线时间
net statistics workstation
查询机器用户相关信息
net user
net localgroup administrators //本地管理员
query user || qwinsta
查询本机与其他机器的连接和共享资源信息
net session
net share
wmic share get name,path,status
netstat -ano
route print
arp -a
系统补丁信息
systeminfo
wmic qfe get caption,description,hotfixid,installedon
防火墙相关配置
netsh firewall set opmode disable //2003之前关闭防火墙
netsh advfirewall set allprofires state off //2003之后关闭防火墙
netsh firewall show config //查看防火墙配置
netsh firewall add allowedprogram c://nc.exe "allow nc" enable//2003之前
netsh advfirewall firewall add rule name="pass nc" dir=in action=allow//2003之后
查询权限
查看当前权限
whoami
获取域sid
whoami /all
查询指定用户的详细信息
net user xxx /domain
判断是否存在域
- ipconfig /all
- systeminfo
- net config workstation
- net time /domain
探测域内存活主机
- netbios-nbt.exe
- icmp-ping
- arp-arpscan
- tcp,udp-scanline
扫描端口
- telnet
- metasploit
- nmap等等
域内基础信息收集
域查询
net view /domain
查询域内所有计算机
net view /domain:xxx
查询所有用户组列表
net group /domain
查询域成员列表
net group "domain computers" /domain
获取域密码策略
net account /domain
域之间的信任信息
nltest /domain_trusts
查找域控制器
- 查看域控机器名:nlt /DCLIST:xxx
- 通过时间查看
- 查看域控制器组
- netdom query pdc
获取域内用户和管理员信息
向域控查询
net user /domain
查看存在用户
dsquery user
域内详细信息
wmic useraccount get /all
查询本地管理员组用户
net localgroup administrators
域控定位
psloggedon.exe
netview.exe
各种敏感信息搜集
内网隧道技术
隧道基础
网络层:ipv6 icmp gre
传输层:tcp udp 其他端口
应用层:ssh http https dns
内网连通性检测
icmp ping
tcp nc
http curl
dns nslookup
隧道工具推荐
icmp:icmpsh pingtunnel(需要关闭主机本身的icmp协议答应)
tcp udp(端口转发):lcx netcat(nc) powercat
ssh:ssh
DNS:dnscat2 iodine
socks:EarthWorm(ew) reGeorg sSocks SockCap64 proxifier proxychains
win系统提权
内核漏洞exp提权
首先查看系统漏洞补丁,及系统版本
然后可以拿到这个网站比对,找到未打补丁的漏洞
配置错误提权
系统服务权限配置错误
- 服务未运行:替换原来的服务
- 服务已运行且无法被终止:通过dll劫持技术并重启提权
注册表键AlwaysinstallElevated
原因:用户开启了windows installer特权安装
可信任服务路径漏洞
当windows想要找到c:\Program Files\Some Folder\Service.exe(没有引号)并执行时
windows会依次找到下列程序(若存在)并执行
- C:\Program.exe
- C:\Program Files\Some.exe
- C:\program Flies\Some Folder\Service.exe
计划任务
常用应用:AccessChk
组策略首选项提权
- 绕过UAC提权
令牌窃取提权
- - rotten potato提权
域内横向移动
常用远程链接相关命令
ipc:net use \\ip\ipc$ "password" /user:Administrator
条件:149,445端口;管理员开启默认共享
windows系统hash值获取
- getpass
- pwDump7
- QuarksPwDump
- mimikatz
密码破解
hashcat
票据传递攻击
WMIC的使用
wmiexec