内网基础知识
概念
内网也指局域网,是指在某个区域由多台计算机互连而成的计算机组,组网范围通常在数千米以内。
在局域网中,可以实现文件管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮件和传真通信服务等。
内网是封闭的,可以由办公室内的两台计算机组成,也可以由一个公司内的大量计算机组成。
内网渗透分为域渗透和工作组渗透两类:
· 域渗透
1. 域信息收集
2. 获取域权限
3. dump域hash
4. 内网权限维持
· 工作组渗透
1. 常规内网渗透
2. 各种欺骗攻击
域和工作组分别对应着不同的内网结构概念,以下将分别对两种内网中的结构进行说明。
内网结构
1、工作组
工作组通过最常见的资源管理模式实现网络资源共享,就是将不同的电脑按功能分别列入不同的组中,以方便管理。
在工作组中的所有计算机都是平等的,没有管理和被管理之分,属于松散会员制,可以随意加入和退出,且不同工作组之间的共享资源,并且可以相互访问。
默认情况下,计算机都是采用工作组方式进行资源管理,将不同的电脑按功能分别列入不同的组中,以方便管理(默认所有的计算机都属于WORKGROUP工作组中,默认共享的是User目录)。
工作组使我们访问的资源结构化更强。工作组情况下资源可以具有一定随机和灵活的分布,更方便资源共享,管理员只需要实施简单的维护,但是对于管理者来说,工作组的管理方式有时不太便于统一管理,如果这时候管理者有统一协调管理所有计算机的需求,使用域的网络结构将会是一个更好的选择。
2、域
域(Domain)是一个有安全边界的计算机集合(安全边界的意思是,在两个域中,一个域中的用户无法访问另一个域中的资源)。与工作组相比,域的安全管理控制机制更加严格。
域控制器(Domain Controller ,DC)是域中的一台类似管理服务系统。域控制器负责所有人连入的计算机和用户的验证工作。域内的计算机如果想相互访问,都要经过域控制器的审核。
域控制器中存在由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当计算机连接到这个域时,域控制器首先要鉴别这台计算机是否属于这个域,以及用户使用的登录账号是否存在,密码是否正确。
域的分类
在通过域控的身份认证后才能访问本域资源,进入域后需要知道自己处于哪个域环境
·单域
· 父域,子域
· 域树(tree)
· 域森岭(forest)
· DNS域名服务器
单域
一般情况下至少存在俩台域服务器,分别为DC和备份DC。
父域和子域
有时候会在网络中划分多个域。第一个域称为父域,各分部的域称为该域的子域。在同一个域中,信息交互的条目是很多的,而且不会压缩;在不同的域之间,信息交互的条目相对较少,而且可以压缩。
子域只能使用父域的名字作为其域名的后缀。
每一个域都可以设置自己的安全策略。
域树
域树(tree)是多个域通过建立信任关系组合的集合。
信任关系是连接不同域的桥梁。域树内的父域与子域,不但可以按照需要相互管理,还可以跨网络分配文件和打印机等设备及资源,从而在不同的域之间实现网络资源的共享与管理、通信及数据传输。
域森岭
域森岭(Forest)是指多个域树通过建立信任关系组成的集合。
通过域树之间的信任关系,可以管理和使用整个域森林的资源,并保留被兼并的域树自身原有的特性。
域名服务器
域名服务器(Domain Name Server,DNS)是指用于实现域名(Domain Name)和与之相对应得IP地址转换的服务器。
域中的计算机是使用DNS来定位域控制器、服务器及其他计算机、网络服务的,所以域的名字就是DNS域的名字。
trick:在内网渗透中,往往可以通过寻找DNS服务器来确定域控制器的位置。(DNS服务器和域控制器通常配置在同一台机器上)
3、活动目录(AD)
活动目录Active Directory,简写为AD,它是 Windows Server 中负责架构中大型网络环境的集中式目录管理服务,在Windows 2000 Server 开始内置于 Windows Server 产品中。
活动目录用于存储有关网络对象(如用户、组、计算机、共享资源、打印机和联系人等)的信息。目录服务可以帮助用户快速、准确地从目录中找到其所需的信息的服务。
活动目录的逻辑结构包括前面的组织单元、域、域树、域森林。域树内所有域共享一个活动目录,这个活动目录内的数据分散存储在各个域中。且每个域只存储域内的数据。
活动目录提供主要提供以下功能:
· 账户集中管理
· 软件集中管理
· 环境集中管理
· 增强安全性
· 更可靠、更短的宕机时间
活动目录与域控制器的区别
由域网络中的众多对象组成的层次结构的数据库被称为活动目录数据库(AD库)。要实现域环境其实就是要安装AD,如果内网中某台机器安装了AD,那么他就是DC。也就实现了只需要在活动目录中对某个账号修改一次密码,在整个域中任意一台机器上都可使用该账号登录。
4、安全域
将一组安全级别相同的计算机划入同一个网段即划分安全域。这个网段内的计算机拥有相同的网络边界,并在网络边界上通过部署防火墙实现对其他安全域的网络访问控制策略(NACL),从而允许哪些IP地址访问此域、允许此域访问哪些IP地址和网段进行设置。
可以将网络划分为三个区域:安全级别最高的内网;安全级别中等的DMZ;安全级别最低的外网。通过硬件防火墙的不同端口实现隔离。
DMZ
DMZdemilitarized zone,中文名为“隔离区”,或称“非军事化区”。它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题,从而设立的一个非安全系统与安全系统之间的缓冲区。
配置一个拥有DMZ的网络,通常需要定义如下访问控制策略:
1. 内网可以访问外网
2. 内网可以访问DMZ
3. 外网不能访问内网:这是防火墙的基本策略。
4. 外网可以访问DMZ:DMZ中的服务器需要为外界提供服务,所以需要外网访问DMZ。
5. DMZ不能访问内网
6. DMZ不能访问外网
办公区
公司员工日常的工作区,一般会安装防病毒软件、主机入侵检测产品等。办公区般能够访问DMZ。如果运维人员也在办公区,那么部分主机也能访问核心数据区(很多大企业还会使用堡垒机来统一管理用户的登录行为)。
攻击者如果想进入内网,一般会使用鱼叉攻击、水坑攻击,当然还有社会工程学手段。办公区人员多而杂,变动也很频繁,在安全管理上可能存在诸多漏洞,是攻击者进入内网的重要途径之一。
核心区
存储企业最重要的数据、文档等信息资产,通过日志记录、安全审计等安全措施进行严密的保护,往往只有很少的主机能够访问。从外部是很难直接访问核心区的。
一般来说,能够直接访问核心区的只有运维人员或者IT部门的主管,所以,攻击者会重点关注这些用户的信息(攻击者在内网中进行横向移动攻击时,会优先查找这些主机)
5、域权限
首先要理解一下组的概念,在组里包含了很多用户,当管理员想要给某个用户分配权限时,只需要将用户加入到对应权限的组里就行,从而提高了管理效率,常见的组有:域本地组、全局组、通用组。
1)域本地组
主要用于授予本域内资源的访问权限。域本地组不能镶嵌在其他组中。
2)全局组
单域用户访问多域资源(必须是用一个域中的用户),只能在创建该全局组的域中添加用户和全局组。可以在域森林的任何域内指派权限。全局组可以嵌套在其他组中。
3)通用组
通用组的成员来自域森林中任何域的用户账号、全局组和其他通用组,可以在该域森林的任何域中指派权限,可以嵌套在其他组中,适合在域森林内的跨域访问中使用。
简单记忆:域本地组来自全林,作用于本域;全局组来自本域,作用于全林;通用组来自全林,作用于全林。
6、内网信息收集
目标主机信息搜集的深度,决定后渗透权限持续把控。渗透的本质是信息搜集,而信息搜集整理为后续的情报跟进提供了强大的保证。
Windows
系统相关
#查看系统信息
systeminfo /all
#查看补丁列表
wmic qfe getCaption,Description,HotFixID,InstalledOn
#查看主机开机时间
net statistics workstation
#查看计划任务
schtasks /query /fo LIST /v ? ? ? ? ? ? #query显示所有计划任务
用户相关
#检查当前用户,权限
whoami /user && whoami /priv
whoami /all ? ? ? ?#查看当前域并获取域SID
#查看在线用户信息
quser
query user || qwinsta
程序相关
#查看杀毒软件
wmic /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntivirusProduct Get displayName /Format:List
#查看安装的程序和版本
wmic product getname,version
#查询运行的进程
tasklist
wmic process list brief
wmic process getprocessid,executablepath,name #显示进程的路径、名称、pid
wmic servicelist brief #查看本机服务
#远程桌面连接历史记录
cmdkey /l
#查看自启动程序列表
wmic startuo getcommand,caption
网络连接相关
#tcp/udp网络连接状态,端口信息
netstat -ano
ipconfig /all #查询本机IP段,所在域等
route print #打印路由信息
arp -a #查看arp缓存,可以发现内网主机
#查看局域网信息
net view #查看同一域内机器列表
net view \\ip #查看某ip共享
net view \\GHQ #查看GHQ计算机的共享资源列表
net view /domain #查看内网存在多少个域
net view /domin:XYZ #查看XYZ域的机器列表
net accounts /domain #查询域用户密码过期等信息
#查看本机共享
net share
wmic share getname,path,status
域相关
#判断是否存在域
net config workstation # 查看当前计算机名,全名,用户名,系统版本,工作站域,登陆的域等
net view /domain # 查看域
#查看主域服务器
net time /domain #主域服务器会同时作为时间服务器
nltest /DCLIST:god #查看域控制器主机名,god为域名
#查看域用户相关信息
net user /domain #显示所在域的用户
net user 域用户 /domain #获取域用户详细信息
net user /domain XXX 123456 #修改用户密码,需要域管理员权限
net group /domain #查看域内用户组列表
net group "domain admins"/domain #获取域管理员列表
net group "domain controllers"/domain #查看域控制器组
net group "domain computers"/domain #查看域机器
#列出域信任关系
nltest /domain_trusts #列出域与域之间的信任关系
#获得域内用户详细信息
wmic useraccount get/all #可以获取到域用户的用户名、描述信息、SID、域名、状态等。
系统相关
cat /etc/issue #查看系统名称
cat /etc/Lsb-release #查看系统名称,版本号
cat /etc/*release #查看linux发行信息
uname -an #查看内核版本
cat /proc/version #查看内核信息
cat /proc/cpuinfo #查看cpu信息
#查看文件系统
df -a
#查看系统日志
sudo cat /var/log/syslog
#查看命令记录
cat /root/.bash_history
cat ~/.bash_history
用户相关
whoami #打印当前有效的用户ID对应的名称
id #查看当前用户的权限和所在的管理组
#查看登录信息
w #用于显示已经登陆系统的用户列表,并显示用户正在执行的指令。
who #显示当前所有登录用户的信息
last #登入过的用户信息
lastlog #显示系统中所有用户最近一次登录信息
#查看账号信息
cat /etc/sudoers
cat /etc/group
cat /etc/passwd
#列出目前用户可执行与无法执行的指令
sudo -l
网络相关
#查询本机IP信息
ifconfig
ip a
#查看端口信息
netstat -anpt
#查看网卡配置
cat /etc/network/interfaces
程序相关
#查看进程信息
ps -ef #标准格式显示
ps aux #BSD格式显示
#资源占有情况
top -c
cat /etc/inetd.conf #由inetd管理的服务列表
cat /etc/xinetd.conf #由xinetd管理的服务列表
#查看计划任务
crontab -l
ls -al /etc/cron*
cat /etc/cron.allow
cat /etc/cron.deny
cat /etc/crontab
#查看开机启动项
/etc/rc.d/init.d/
配置信息
iptables –L #查看防火墙配置(注意需要root权限)
cat /etc/resolv.conf #查看dns配置文件
cat /etc/network/interfaces #查看网卡配置文件
cat /etc/apache2/apache2.conf #查看apache配置文件
cat /etc/my.conf #mysql配置
#查看suid文件
find / -perm -u=s -type f 2>/dev/null
#最近五天的文件
find / -ctime +1 -ctime -5
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
