0x00 概念

在这里插入图片描述

1.1 工作组

在局域网里,范围小的计算机 可操作ARP欺骗,DNS劫持等等。

1.2 DMZ

两个防火墙之间的空间

1.3 域环境

存在一台主机管理计算机。大部门都是windows,也有linux。LINUX下需要安装LDAP环境,功能上没有windows域强大,用linux管理技术人员门槛比较高。

1.4 域控制器DC

域里的管理者,域的最高权限。

1.5 活动目录AD

网络基本概况
在这里插入图片描述

0x01 信息收集

2.1 基本信息收集

systeminfo 详细信息

net start 启动服务

tasklist 进程列表

schtasks 计划任务 #遇到加载不出来的情况可能时权限不够

2.2 网络信息收集

了解当前服务器的网络接口信息,判断当前角色、功能等等

  • ipconfig /all 当前所在域

在这里插入图片描述

  • net view /domain 判断存在域
    在这里插入图片描述
  • net time /domain 判断主域

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-hmcMtYZt-1645168675466)(C:\Users\13308\AppData\Roaming\Typora\typora-user-images\image-20220214095408112.png)]

  • 使用Ping命令或者nslookup得到域控ip地址

在这里插入图片描述

  • netstat -ano 查看网络端口开放

2.3 用户信息收集

系统默认常见用户身份:
Domain Admins	域管理员(默认对域控制器有完全控制权)
Enterprise Admins	企业系统管理员用户(默认对域控制器有完全控制权)
Domain Computers	域内机器
Domain Controllers	域控制器
Domain Guest	域访客、权限低
Domain Users	域用户

相关命令:
net user 本地用户
net user /domain 查看域用户
在这里插入图片描述
目前是域用户webadmin,当访问计算机管理时需要输入账号密码进行验证。当是本地用户如Administrator时,可直接进入,二者有区别。
net localgroup 查看本地组
net group /domain 查看域的组
wmic useraccount get /all 涉及域用户详细信息
net group “Domain Admins” /domain 查村域管理员账户
net group “Enterprise Admins” /domain 查询管理员用户组

2.4 凭据信息收集

收集各种密文,明文,口令等,为后续横向渗透测试准备。

2.4.1 用户HASH,明文获取

mimikatz(windows) mimipenguin(linux)

mimikatz  mimipenguin 下载链接
https://github.com/samratashok/nishang
https://github.com/AlessandroZ/LaZagne
https://github.com/gentilkiwi/mimikatz/releases
https://github.com/huntergregal/mimipenguin/releases/
https://nagareshwar.securityxploded.com/download-softwares/
https://xenarmor.com/allinone-password-recovery-pro-software/
https://pan.baidu.com/s/14eVDglqba1aRXi9BGcBbug提取码: taqu

以mimikatz为例,需要在本地管理组下操作
必须去验证密码,否则无法查看密码
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6k3Qjo5G-1645168675469)(C:\Users\13308\AppData\Roaming\Typora\typora-user-images\image-20220218104328983.png)]
打开REAIME.md文件 ,查看命令

privilege::debug #启动命令
sekurlsa::logonpasswords #查看用户密码

以mimipenguin为例,基本上支持ubuntu
./mimipenguin.sh #获取明文密码,root权限

2.4.2 协议服务口令获取

LaZagne(all)所有系统均适用
XenArmor(win) 有钱直接买,大概2,300
1.站点源码备份文件、数据库备份文件等
2.各类数据库web管理入口,如PHPMYAdmin
3.浏览器保存密码、浏览器cookies
4.其他用户会话、3389和ipc$连接记录、回收站内容
5.windows保存的WIFI密码
6.网络内部的各种账号和密码,如Email、VPN、OA等

LaZagne下载地址
https://github.com/AlessanfroZ/LaZagne

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-RPef0xe3-1645168675469)(C:\Users\13308\AppData\Roaming\Typora\typora-user-images\image-20220218110351055.png)]

2.5 探针主机域控架构服务

  • 探针域控制器名及地址信息

net time /domain nelookup ping

  • 探针域内存活主机地址信息

nbtscan 192.168.3.0/24第三方工具
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Im5MpYoA-1645168675470)(C:\Users\13308\AppData\Roaming\Typora\typora-user-images\image-20220218113137953.png)]

  • 系统自带命令
for  /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.3.%I | findstr "TTL="   

不会被杀毒软件拦截

  • nmap masscan 第三方PowerShell脚本nishang empire等
Import-Module .\nishang.psml	#导入nishang模块
Set-ExecutionPolicy RemoteSigned	#设置执行策略,初次运行需执行
Get-Command -Module nishang	#获取模块 nishang 的命令函数
Get-Information	#获取常规计算机信息
Invoke-PortScan -StartAddress 192.168.229.0 -EndAddress 192.168.229.255 -ResolveHost -ScanPort	#端口扫描(查看目录对应文件有演示语法,其他同理)
#其他功能:删除补丁,反弹 Shell,凭据获取等

2.6 探针域内主机角色及服务信息

利用开放端口服务及计算机名判断
核心业务机器:
1.高级管理人员、系统管理员、财务/人事/业务人员的个人计算机
2.产品管理系统服务器
3.办公系统服务器
4.财务应用系统服务器
5.核心产品源码服务器(自建SVN、GIT)
6.数据库服务器
7.文件或网盘服务器、共享服务器
8.电子邮件服务器
9.网络监控系统服务器
10.其他服务器(内部技术文档服务器、其他监控服务器等)

Logo

更多推荐