0x01.常见小型企业网络架构图
一般实战我们渗透拿下的web服务器就是处于图中的DMZ区的web服务器 , 当然也可能存在内网和web在一起
0x02.常见概念
工作组 : 常见的家用个人pc , 网吧环境 , 宿舍网 这些都是处于工作组环境
域环境 : 一般企业办公环境 , 有一台域控机器可以管理其他计算机
AD : 活动目录 , 是域控机器上的一种策略功能
DC : 域控
单域 : 单独的只有一个域
父域子域 : 比如北京办公域和海淀办公域
域数和域森林 : 多个域分支 , 呈树状结构
linux有域环境吗?
linux也有活动目录 , 但是要装LDAP , 操作复杂 , 而且功能不如win域管理强大 , 一般linux还是做服务器比较好
单域图
0x03.域内信息收集
1.基本信息收集
旨在了解当前服务器的计算机基本信息,为后续判断服务器角色,网络环境等做准备
常用命令
systeminfo 详细信息
net start 启动服务
tasklist 进程列表
schtasks 计划任务
2.网络信息收集
旨在了解当前服务器的网络接口信息,为判断当前角色,功能,网络架构做准备
常用命令
ipconfig /all 判断存在域-dns
net view /domain 判断存在域 会返回当前域名称
net time /domain 判断主域
netstat -ano 当前网络端口开放
nslookup 域名 追踪来源地址
ping 域名(或者计算机名) ping hacker.testlab (判断当前域控ip)
3.用户信息收集
旨在了解当前计算机或域环境下的用户及用户组信息,便于后期利用凭据进行测试
系统默认常见用户身份
Domain Admins:域管理员(默认对域控制器有完全控制权)
Domain Computers:域内机器
Domain Controllers:域控制器
Domain Guest:域访客,权限低
Domain Users:域用户
Enterprise Admins:企业系统管理员用户(默认对域控制器有完全控制权)
相关用户收集操作命令
whoami /all 用户权限
net config workstation 登录信息
net user 本地用户
net localgroup 本地用户组
net user /domain 获取域用户信息 *****
net group /domain 获取域用户组信息
wmic useraccount get /all 涉及域用户详细信息
net group "Domain Admins" /domain 查询域管理员账户 *****
net group "Enterprise Admins" /domain 查询管理员用户组
net group "Domain Controllers" /domain 查询域控制器(返回计算机器名+$) *****
4.凭据信息收集
旨在收集各种密文,明文,口令等,为后续横向渗透做好测试准备 计算机用户 HASH,
明文获取-mimikatz(win),mimipenguin(linux) 计算机各种协议服务口令获取-LaZagne(all),XenArmor(win) --> 国外的一款密码神器,但是付费,破解版都是很老的
wifi密码获取
Netsh WLAN show profiles
Netsh WLAN show profile name="无线名称" key=clear
常见各类密码
1.站点源码备份文件、数据库备份文件等
2.各类数据库 Web 管理入口,如 PHPMyAdmin
3.浏览器保存密码、浏览器 Cookies
4.其他用户会话、3389 和 ipc$连接记录、回收站内容
5.Windows 保存的 WIFI 密码
6.网络内部的各种帐号和密码,如:Email、VPN、FTP、OA 等
mimikatz演示密码(管理员权限)的获取 :
privilege::debug
sekurlsa::logonpasswords
5.探针主机域控架构服务
为后续横向思路做准备,针对应用,协议等各类攻击手法 探针域控制器名及地址信息
常用命令
net time /domain 返回当前域控计算机名.域名
nslookup dc.hacker.testlabping dc.hacker.testlab探针域内存活主机及地址信息
探测域内存活主机nbtscan 192.168.1.0/24 第三方工具(存在被杀的风险)for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.3.%I | findstr "TTL=" 自带内部命令
nmap masscan 第三方 PowerShell 脚本 nishang empire 等
#导入模块 nishang Import-Module .\nishang.psm1 #获取执行策略 Get-ExecutionPolicy#设置执行策略 Set-ExecutionPolicy RemoteSigned #获取模块 nishang 的命令函数 Get-Command -Module nishang #获取常规计算机信息 Get-Information #端口扫描(查看目录对应文件有演示语法,其他同理) Invoke-PortScan -StartAddress 192.168.3.0 -EndAddress 192.168.3.100 -ResolveHost -ScanPort #其他功能:删除补丁,反弹 Shell,凭据获取等
探针域内主机角色及服务信息 利用开放端口服务及计算机名判断
核心业务机器:
1.高级管理人员、系统管理员、财务/人事/业务人员的个人计算机2.产品管理系统服务器3.办公系统服务器4.财务应用系统服务器5.核心产品源码服务器(自建 SVN、GIT)6.数据库服务器7.文件或网盘服务器、共享服务器8.电子邮件服务器9.网络监控系统服务器10.其他服务器(内部技术文档服务器、其他监控服务器等)