域渗透

域环境搭建

这里使用Windows server 2008 r2
dcpromo
关键步骤:

  1. 域控:
    添加角色向导:
    添加角色–>服务器角色–>Active Directory 域服务

Active Directory 域服务安装向导
在新林中新建域
输入域名xxx.com
DNS服务器

  1. 客户:
    系统–>高级系统设置–>系统属性–>更改域
    先脱离原先域:选择隶属于工作组
    其它–>输入与域控相同的域名

域环境操作

常用命令

whoami 列出当前登录的用户信息
ipconfig /add 查询本机IP段、所在域等
net user 本机用户列表
net localhroup administrators 本机管理员(通常含有域用户)
net user /domain 查询域用户
net group /domain 查询域用户
net group "domain admins" /domain 查询域管理员用户组
net localgroup administrators /domain 登录本机的域管理员
net localgroup administrators [workgroup]\user001 /add 域用户添加到本机
net group "domain controllers" /domain 查看域控制器(如果有多台)
net time /domain 判断主域(主域服务器都做时间服务器)
net config workstation 当前登录域
net session 查看当前会话
net user \\ip\ipc$ password /user:username 建立IPC会话[空连接-***]
net user x: \\192.168.10.100\gong 文件共享
net share 查看SMB指向的路径[即共享]
net view 查询同一域内机器列表
net view \\ip 查询某IP共享
net view /domain 查询域列表
net view /domain:domainname 查看workgroup域中计算机列表
net start 查看当前运行的服务
net accounts 查看本地密码策略
net accounts /domain 查看域密码策略
nbtstat -A ip netbios查询
netstat -an/ano/anb 网络连接查询
route print 路由表
NETSH FIREWALL show all 显示域/标准配置文件的允许的程序配置
tasklist /V 查看进程[显示对应用户]
tasklist /S ip /U domain\username /p password /V 查看远程计算机进程列表
qprocess * 类似于tasklist
qprocess /SERVER:IP 远程查看计算机进程列表
nslookup --qt-MX Yahoo.com 查看邮件服务器
whoami /all 查询当前用户权限
set 查看系统环境变量
systeminfo 查看系统信息
qwinsta 查看登陆情况
qwinsta /SERVER:IP 查看远程登录情况
fsutil fsinfo drives 查看所有盘符
gpupdate /force 更新域策略

wmic命令集

简介

wmic命令集,Windows Management Instrumentation Command-line
wmic有2种命令执行方式:

  • cmd输入wmic进入wmic控制台,再输入详细命令
    process

  • cmd下直接输入wmic process执行
    wmic提供了从命令行接口和批命令脚本执行系统管理的支持

常用命令

process 负责进程管理
service 负责应用程序管理
bios 基本输入/输出服务(BIOS)管理
qfe 快速修复工程(补丁qfe get hotfixid)
startup 当用户登录到计算机系统时自动运行的命令的管理
os 已安装操作系统的管理
share 共享资源管理
useraccount 用户账户管理
logicaldisk 本地存储设备管理
cpu CPU管理

dsquery

AD域中的管理利器
dsquery computer 查找目录中的计算机
dsquery contact 查找目录中的联系人
dsquery subnet 查找目录中的子网
dsquery group 查找目录中的组
dsquery ou 查找目录中的组织单位
dsquery site 查找目录中的站点
dsquery server 查找目录中的AD DC/LDS实例
dsquery user 查找目录中的用户
dsquery quota 查找目录中的配额规定
dsquery partition 查找目录中的分区
dsquery * 用通用的LDAP查询来查找目录中的任何对象

命令行帮助

/?-? 显示所有全局开关和别名的语法
//? /user /? 显示指定全局开关的信息
/? class /? 显示某个命令的信息
/? memcache /? 显示某个别名的信息
/? temperature get /? 显示别名与动词组合的信息
/?:Full irq get /?:Full 显示动词的帮助信息
eg:

1
wmic:root\cli>process /?

windows查找

1
for /r c:\ %i in (flag.txt) do echo %i

域环境渗透流程与技巧

域渗透目的

从目的出发,找路线:
域中,由众多的服务器资源组成。想要摸清整个域结构,在一个很大的域中每一台尝试去渗透是不现实的(时间、精力不足)
因此,域渗透中瞄准的对象永远是DC(Domain Controller)域控,所有的一切准备工作都是为了获取域控,有了域控,整个域的拓扑、敏感信息信手拈来

域环境信息搜集

基本步骤

  1. 内网环境下先查看网络架构。如:网段信息、域控、DNS服务器、时间服务器
  2. 收集到了足够多的信息,考虑扫开放端口21、22、80、443、8080等确定敏感信息,以及之后的渗透方向
  3. 通过以上信息进行一定的弱口令尝试,针对特定的软件做banner采集利用,snamp测试读取和写入权限
  4. 进行一些提权操作,从横向和纵向对目标服务器进行渗透
  5. 注意ids和一些出口控制的绕过预警提示
  6. 进行敏感信息挖掘,同时擦出入侵足迹

应当收集的信息:

  • 已获取权限机:

  1. 用户列表[Windows用户列表/邮件列表/…]:
    分析Windows用户列表,不要忽略administrator
    分析邮件用户,内网[域]邮件用户,通常就是内网[域]用户,如:owa

  2. 进程列表:
    分析杀毒软件/安全监控工具等
    邮件客户端
    VPN等

  3. 端口列表:
    开放端口对应的常见服务/应用程序[匿名/权限/漏洞等]
    利用端口进行信息收集,建议深入挖掘[NETBIOS,SMB等]

  4. 补丁列表:
    分析Windows补丁
    第三方软件[Java/Oracle/Flash等]漏洞

  5. 本机共享[域内共享很多时候相同]:
    本机共享列表/访问权限
    本机访问的域共享/访问权限

  6. 本地用户习惯分析:
    历史记录
    收藏夹
    文档等

  • 扩散信息收集
    利用本机获取的信息收集内网[域]其它机器的信息:
  1. 用户列表/共享/进程/服务等[参考已获取权限机]
  2. 收集Active Directory信息
  • 第三方信息收集
  1. NETBIOS信息收集工具
  2. SMB
  3. 空会话信息收集
  4. 端口信息收集
  5. 漏洞信息收集

找域控

找域控登入过的机器

  • tasklist /s x.x.x.x /u username /p password /v
  • 系统内部自带的工具psloggedon.exe
  • netsess.exe
  • Nmap
  • Powershell

总结

渗透过程中,走到哪一步,需要做什么
使用powershell加载powersploit嗅探模块(recon)
需要权限,加载提权/查密码
需要维持,使用进程注入/dll注入

您的支持是我前进的动力!