内网渗透 域管理基础

發表於 2017-11-09   |   分類於 信息安全   |  

原始标题: 内网渗透之域渗透
演讲人: nmg
日期:2017.10.28

域管理基础

工作组 & 域

便于统一管理
便于集中身份验证

安装活动目录(Active Directory, AD)的就是域控制器(Domain Controller, DC)。

Active Directory 域服务

客户机的首选DNS服务器即为域控制器。

域渗透流程

  1. 环境判断
  2. 定位域控
  3. 弱点入侵
  4. 已知漏洞
  5. 键盘记录
  6. 中间人攻击
  7. 令牌(token)伪造

常用命令 

1
2
3
4
5
6
7
8
9
10
11
12
net group /domain # 获得所有域用户列表
net group qq_group /domain # 显示域中qq_group组的成员
net group "domain admins" /domain # 获得域管理员列表
net group "enterprise admins" /domain # 获取企业管理员列表
net group "domain controllers" /domain # 获得域控制器列表
net group "domain computers" /domain # 获得所有域成员计算机列表
net user /domain # 获得所有域用户列表
net user someuser /domain # 获取指定账户 someuser 的详细信息
net view /domain # 查询有几个域,查询域列表
net view /domain:testdomain # 查看testdomain域中的计算机列表
nltest /domain_trusts # 获取域信任信息
net user domain-admin /domain # 查看管理员登陆时间,密码过期时间,是否有登陆脚本

环境判断

环境包括

  1. 机器所处的拓扑位置
  2. 机器承担的功能/角色
  3. 进出口流量

定位域控的若干方式

定位域控
a. 本地检测

  1. net group "domain admins" /domain 获取域管理员列表
  2. ipconfig /all 查看首选DNS

b. 查询活跃的域控制器

  1. nslookup -type=SRV_ldap._tcp
  2. netsess.exe -h 使用 netsess.exe 查询

c. 扫描远程系统上的NetBIOS信息

  1. netstat 查询 NetBIOS 操作系统指纹、共享列表、用户列表…

d. 扫描远程系统上身份验证令牌

  1. PSExec 扫描远程系统上的身份验证令牌

弱点入侵
弱口令: Hsan, Ntscan, hydra
漏洞扫描: Nessus, Xscan, Nmap, Metasploit

Cain ARP欺骗 网络嗅探

常见溢出
MS08-067 Nmap扫描 / sfind.exe
MS17-010 Nmap扫描 / sfind.exe
MS14-068 (建议参考PPT)
DNS 溢出 Superscan

msf smb_ms17_010.rb

键盘记录
keyscan_start
keyscan_dump
keyscan_stop

中间人攻击
DNS欺骗 SMB会话劫持 信息篡改

cain, ettercap, sniffer wireshark

令牌伪造
建议参考PPT

信息渗漏

Mimikatz 获取密码
LaZagne 获取密码
getpass
wce.exe
pwdump

#渗透测试 #内网渗透
15个Web狗的CTF出题套路
局域网资产探测工具 LN2(蓝图)