image-20220309121939190

image-20220309122009623

image-20220309122025219

image-20220309122247396

名词解释

DMZ

是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。该缓冲区位于企业内部网络和外部网络之间的小网络区域内。在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络。因为这种网络部署,比起一般的防火墙方案,对来自外网的攻击者来说又多了一道关卡。

工作组和域环境

工作组

  • 工作组有时也叫对等网络,因为每台计算机的角色是对等的,他们的资源和管理分散在各个计算机上
  • 用户账户的任何变化,例如修改密码或添加新的账户必须在每台计算机上操作
  • 工作组中的每台计算机都维护一个本地安全数据库(我理解为可以登录的账户信息和共享的资源信息),这就分散了用户账户和资源安全的管理,在每台用户需要访问的计算机上,用户都必须使用此用户账户。

  • 域模型就是针对大型网络的管理需求而设计的,域就是共享用户账号,计算机账号和安全策略的计算机集合
  • 域提供了集中的管理——因为所有的用户信息都被集中存储
  • 只要用户账户有对资源的适当权限,使用账户都能登录域内的任一台计算机,都可以访问网络上另一计算机的资源。
  • 域提供了可伸缩性,可以创建非常大的网络。

域中有三种计算机:

  • 域控制器:域控制器上存储着Active Directory;
  • 成员服务器:负责提供邮件,数据库,DHCP等服务;
  • 工作站:是用户使用的客户机。

参考

工作组与域的区别和联系

活动目录AD

存储了有关网络对象的信息,并且让管理员和用户能够轻松地查找和使用这些信息

域控制器DC

域控制器( Domain controller,DC)是活动目录的存储位置,安装了活动目录的计算机称为域控制器。

域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。

基本信息收集

旨在了解当前服务器的计算机基本信息,为后续判断服务器角色,网络环境等做准备

1
2
3
4
systeminfo 详细信息
net start 启动服务
tasklist 进程列表
schtasks 计划任务

网络信息收集

旨在了解当前服务器的计算机基本信息,为后续判断服务器角色,网络环境等做准备

ipconfig /all ,判断是否存在域:根据是否有主DNS后缀信息来判断

image-20220309153915242

image-20220309175601200

net view /domain,通过能否成功返回说明存在域

image-20220309175737329

image-20220309175802103

net time /domain,判断主域:返回主域的时间,可以确定主域名,配合nslookup 域名ping 域名命令确定IP地址

image-20220309180724121

image-20220309180801291

image-20220309181138587

netstat -ano,当前本地网络端口开放

image-20220309181242810

信息收集可以帮助我们了解当前是web服务器还是个人主机等,以便确定正确的攻击思路

用户信息收集

旨在了解当前计算机或域环境下的用户及用户组信息,便于后期利用凭据进行测试

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
# 系统默认常见用户身份:

Domain Admins:域管理员(默认对域控制器有完全控制权)

Domain Computers:域内机器

Domain Controllers:域控制器

Domain Guest:域访客,权限低

Domain Users:域用户

Enterprise Admins:企业系统管理员用户(默认对域控制器有完全控制权)

# 相关用户手机操作命令
系统默认常见用户身份:

Domain Admins:域管理员(默认对域控制器有完全控制权)

Domain Computers:域内机器

Domain Controllers:域控制器

Domain Guest:域访客,权限低

Domain Users:域用户

Enterprise Admins:企业系统管理员用户(默认对域控制器有完全控制权)

凭据信息收集

旨在收集各种密文,明文,口令等,为后续横向渗透做好测试准备

脚本

计算机用户、密码,HASH,明文获取:mimikatz(win)mimipenguin(linux)

计算机各种协议服务口令获取:LaZagne(all)XenArmor(win)

注意

对于这类信息收集脚本大部分需要有较高的权限才能执行,所以一般在获取webshell后还需进一步拿到更高权限(administrator、system),这些脚本才有用武之地

命令

1
2
3
Netsh WLAN show profiles 查看自己电脑连接过的wifi

Netsh WLAN show profile name="无线名称" key=clear 查看自己电脑连接过的wifi密码,其中的“关键内容”对应的就是密码。

收集目标

  1. 站点源码备份文件、数据库备份文件等

  2. 各类数据库 Web 管理入口,如PHPMyAdmin

  3. 浏览器保存密码、浏览器 Cookies

  4. 其他用户会话、3389 和 ipc$连接记录、回收站内容

  5. Windows 保存的 WIFI 密码

  6. 网络内部的各种帐号和密码,如:Email、VPN、FTP、OA 等

可以收集这些密码来生成一个字典配合后期爆破工作

探针主机域控架构服务操作

为后续横向思路做准备,针对应用,协议等各类攻击手法

针对域控制器名及地址信息

第三方工具(需要考虑免杀)

nbtscan 192.168.x.0/24

nmap、masscan

系统自带命令

for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.3.%I | findstr "TTL="

第三方PowerShell脚本nishang empire等

一般需要高系统权限才能执行

nishang使用方法

打开“Windows PowerShell”,来到软件所在的目录(可以Tab键补全)

cd .\Desktop\nishang-master

导入模块nishang

Import-Module .\nishang.psm1

设置执行策略(初次执行或导入不了时)

Set-ExecutionPolicy RemoteSigned

获取模块nishang的命令函数

Get-Command -Module nishang

成功进入后,输入对应的参数使用功能

获取常规计算机信息

Get-Information

端口扫描(查看目录对应文件有演示语法,其他同理)

Invoke-PortScan -StartAddress 192.168.3.0 -EndAddress 192.168.3.100 -ResolveHost -ScanPort

其他功能:删除补丁,反弹 Shell,凭据获取等

探针域内主机角色及服务信息

利用开放端口服务计算机名判断

核心业务机器:

  1. 高级管理人员、系统管理员、财务/人事/业务人员的个人计算机
  2. 产品管理系统服务器
  3. 办公系统服务器
  4. 财务应用系统服务器
  5. 核心产品源码服务器(自建 SVN、GIT)
  6. 数据库服务器
  7. 文件或网盘服务器、共享服务器
  8. 电子邮件服务器
  9. 网络监控系统服务器
  10. 其他服务器(内部技术文档服务器、其他监控服务器等)

资源

红队实战演练环境:https://pan.baidu.com/s/14eVDglqba1aRXi9BGcBbug,提取码:taqu