内网渗透|初识域基础及搭建简单域

字数 2703 2025-08-09 17:09:31

内网渗透基础：域环境搭建与域基础知识详解

第一部分内网基础知识点

1. 工作组与域的概念

工作组：

局域网中计算机的分类方式，使网络更有序
计算机管理各自为政，所有计算机对等
松散会员制，可随意加入和退出
不同工作组间共享资源可相互访问

域：

有安全边界的计算机组合（域间用户无法互访资源）
资源由域控制器(DC)集中管理
用户名和密码由域控制器验证
优点：通过组策略统一管理

2. 域的分类

单域：只有一个域的网络环境，一般需要两台DC（主DC和备用DC）
父子域：
- 父域类比公司总部，子域类比分部
- 优点：
  - 减小域间信息交互压力（域内不压缩，域间可压缩）
  - 不同子域可指定特定安全策略
- 命名规则：子域使用父域名作为后缀，用"."表示层次
域树：多个域通过信任关系组成的集合
域森林：多个域树通过信任关系组成的集合
DNS域名服务器：实现域名到IP的转换，域的名字就是DNS域名

3. 活动目录(Active Directory, AD)

域环境中提供目录服务的组件
存储网络对象信息：用户、组、计算机、共享资源、联系人
逻辑结构：组织单元、域、域树、域森林
功能：
- 账号集中管理
- 软件集中管理
- 环境集中管理
- 增强安全性
- 更可靠、更短的宕机时间

域与AD区别：实现域环境需要安装AD，安装AD后计算机变为DC

4. 安全域划分

内网（安全级别最高）：
- 核心区：存储最重要数据，访问受限
- 办公区：员工工作区，可访问DMZ，部分可访问核心区
DMZ（边界网络/隔离区，安全级别中等）：
- 内网与非安全系统间缓冲区
- 放置必须公开的服务器设施
外网（Internet，安全级别最低）

访问控制策略：

内网→外网：允许
内网→DMZ：允许
外网→内网：禁止
外网→DMZ：允许
DMZ→内网：禁止
DMZ→外网：禁止

5. 域中计算机分类

域控制器(DC)：
- 管理所有网络访问
- 存储域内所有账户和策略信息
- 支持多台DC（容灾）
成员服务器：
- 安装服务器OS并加入域
- 未安装AD
- 主要提供网络资源
客户机：
- 安装其他OS的计算机
- 使用域账户登录域
独立服务器：
- 不加入域
- 无活动目录

6. 域内权限与组策略

组类型：

域本地组：
- 多域用户访问单域资源
- 可从任何域添加用户账号、通用组和全局组
- 无法嵌套在其他组中
全局组：
- 单域用户访问多域资源
- 只能在创建域中添加用户和全局组
- 可在域森林中任何域内指派权限
- 可嵌套在其他组中
通用组：
- 多域用户访问多域资源
- 成员信息保存在全局编录(GC)中
- 任何变化都会导致全林复制

A-G-DL-P策略：

将用户账户(A)添加至全局组(G)
将全局组添加至域本地组(DL)
为域本地组分配资源权限(P)

7. 域内权限解读

域本地组权限：

Administrators（管理员组，最重要）
Remote Desktop Users（远程登录组）
Print Operators（打印机操作员组）
Account Operators（帐号操作员组）
Server Operators（服务器操作员组）
Backup Operators（备份操作员组）

全局组/通用组权限：

Domain Admins（域管理员组，最重要）
Enterprise Admins（企业系统管理员组，次重要）
Schema Admins（架构管理员组）
Domain Users（域用户组）

8. 域的优劣势分析

优势：

集中权限管理，降低管理成本
加强保密性，可对资源单独权限控制
增强安全性：
- 使用漫游账户和文件夹重定向
- 统一备份管理用户数据
- 可分发应用程序和系统补丁
提高便捷性：
- 管理员可指派登录脚本映射
- 用户可像使用本地资源一样使用网络资源

第二部分常用工具分类

1. 主机平台及常用工具

WCE：Windows凭据管理器
Mimikatz：从内存获取明文密码
Responder：嗅探LLMNR包获取主机信息
BeEF：浏览器渗透测试工具
DSHashes：从NTDSXtract提取易理解的散列值
PowerSploit：基于PowerShell的后渗透框架
Nishang：针对PowerShell的渗透工具
Empire：内网渗透测试利器
ps_encoder.py：Base64编码封装的PowerShell命令包
smbexec：快速psExec工具（使用samba）
后门制造工厂：对PE/ELF等二进制注入Shellcode
Veil：生成绕过杀软的Metasploit有效载荷
Metasploit：安全漏洞项目框架
Cobalt Strike：优秀后渗透测试平台

2. Windows渗透常用工具

Nmap：网络发现和安全审计工具
Wireshark：网络协议和数据包解析器
PuTTY：SSH和Telnet客户端
SQLMap：SQL注入工具
BurpSuite：Web应用安全测试代理工具
Hydra：网络登录暴力破解工具
Getif：收集SNMP设备信息工具
Cain&Abel：密码恢复工具（集成嗅探等功能）

3. PowerShell基本命令

查看版本：

Get-Host
$PSVersionTable.PSVERSION

常用命令：

New-Item hack -ItemType Directory  # 新建目录
New-Item ailx0000.txt -ItemType File  # 新建文件
Set-Content .\ailx0000.txt -Value "hi hacker ailx10..."  # 写文件
Add-Content .\ailx0000.txt -Value "ooops~"  # 追加内容
Get-Content .\ailx0000.txt  # 显示内容
Clear-Content .\ailx0000.txt  # 清除内容
Remove-Item .\ailx0000.txt  # 删除文件

常见用途：

绕过本地权限执行
从网站服务器下载脚本并偷偷执行
使用Base64编码PowerShell命令

第三部分内网环境搭建实践

实验1：搭建域环境

环境准备：

工具：VMware
系统镜像：WinServer2012、WinServer2008、Win7

WinServer2012配置（作为DC）：

配置IP地址
更改计算机名：
- 控制面板 > 系统和安全 > 计算机名 > 更改
安装域控制器和DNS服务
升级服务器
创建Active Directory用户
添加测试用户（如testuser）

Win7客户端配置：

配置IP和DNS地址（指向DC的IP）
测试ping DC是否通
更改计算机名（如win7-X64-test）
更改域名为hacke.testdb
使用域管理员账号密码登录

Win2008配置：

同Win7配置IP和DNS
将主机加入域并改计算机名
使用域账号登录

实验2：搭建其他服务器环境

可选搭建：

Metasploit2/3
OwaspBWA
DVWA

关键注意事项

DNS服务器通常与域控制器在同一台机器上
一个域至少需要两台DC（主备）
域渗透重点关注Domain Admins组权限
父子域结构可有效降低信息交互压力
活动目录是实现域环境的核心组件

内网渗透基础：域环境搭建与域基础知识详解第一部分内网基础知识点 1. 工作组与域的概念工作组：局域网中计算机的分类方式，使网络更有序计算机管理各自为政，所有计算机对等松散会员制，可随意加入和退出不同工作组间共享资源可相互访问域：有安全边界的计算机组合（域间用户无法互访资源）资源由域控制器(DC)集中管理用户名和密码由域控制器验证优点：通过组策略统一管理 2. 域的分类单域：只有一个域的网络环境，一般需要两台DC（主DC和备用DC）父子域：父域类比公司总部，子域类比分部优点：减小域间信息交互压力（域内不压缩，域间可压缩）不同子域可指定特定安全策略命名规则：子域使用父域名作为后缀，用"."表示层次域树：多个域通过信任关系组成的集合域森林：多个域树通过信任关系组成的集合 DNS域名服务器：实现域名到IP的转换，域的名字就是DNS域名 3. 活动目录(Active Directory, AD) 域环境中提供目录服务的组件存储网络对象信息：用户、组、计算机、共享资源、联系人逻辑结构：组织单元、域、域树、域森林功能：账号集中管理软件集中管理环境集中管理增强安全性更可靠、更短的宕机时间域与AD区别：实现域环境需要安装AD，安装AD后计算机变为DC 4. 安全域划分内网（安全级别最高）：核心区：存储最重要数据，访问受限办公区：员工工作区，可访问DMZ，部分可访问核心区 DMZ （边界网络/隔离区，安全级别中等）：内网与非安全系统间缓冲区放置必须公开的服务器设施外网（Internet，安全级别最低）访问控制策略：内网→外网：允许内网→DMZ：允许外网→内网：禁止外网→DMZ：允许 DMZ→内网：禁止 DMZ→外网：禁止 5. 域中计算机分类域控制器(DC) ：管理所有网络访问存储域内所有账户和策略信息支持多台DC（容灾）成员服务器：安装服务器OS并加入域未安装AD 主要提供网络资源客户机：安装其他OS的计算机使用域账户登录域独立服务器：不加入域无活动目录 6. 域内权限与组策略组类型：域本地组：多域用户访问单域资源可从任何域添加用户账号、通用组和全局组无法嵌套在其他组中全局组：单域用户访问多域资源只能在创建域中添加用户和全局组可在域森林中任何域内指派权限可嵌套在其他组中通用组：多域用户访问多域资源成员信息保存在全局编录(GC)中任何变化都会导致全林复制 A-G-DL-P策略：将用户账户(A)添加至全局组(G) 将全局组添加至域本地组(DL) 为域本地组分配资源权限(P) 7. 域内权限解读域本地组权限： Administrators（管理员组，最重要） Remote Desktop Users（远程登录组） Print Operators（打印机操作员组） Account Operators（帐号操作员组） Server Operators（服务器操作员组） Backup Operators（备份操作员组）全局组/通用组权限： Domain Admins（域管理员组，最重要） Enterprise Admins（企业系统管理员组，次重要） Schema Admins（架构管理员组） Domain Users（域用户组） 8. 域的优劣势分析优势：集中权限管理，降低管理成本加强保密性，可对资源单独权限控制增强安全性：使用漫游账户和文件夹重定向统一备份管理用户数据可分发应用程序和系统补丁提高便捷性：管理员可指派登录脚本映射用户可像使用本地资源一样使用网络资源第二部分常用工具分类 1. 主机平台及常用工具 WCE ：Windows凭据管理器 Mimikatz ：从内存获取明文密码 Responder ：嗅探LLMNR包获取主机信息 BeEF ：浏览器渗透测试工具 DSHashes ：从NTDSXtract提取易理解的散列值 PowerSploit ：基于PowerShell的后渗透框架 Nishang ：针对PowerShell的渗透工具 Empire ：内网渗透测试利器 ps_ encoder.py ：Base64编码封装的PowerShell命令包 smbexec ：快速psExec工具（使用samba）后门制造工厂：对PE/ELF等二进制注入Shellcode Veil ：生成绕过杀软的Metasploit有效载荷 Metasploit ：安全漏洞项目框架 Cobalt Strike ：优秀后渗透测试平台 2. Windows渗透常用工具 Nmap ：网络发现和安全审计工具 Wireshark ：网络协议和数据包解析器 PuTTY ：SSH和Telnet客户端 SQLMap ：SQL注入工具 BurpSuite ：Web应用安全测试代理工具 Hydra ：网络登录暴力破解工具 Getif ：收集SNMP设备信息工具 Cain&Abel ：密码恢复工具（集成嗅探等功能） 3. PowerShell基本命令查看版本：常用命令：常见用途：绕过本地权限执行从网站服务器下载脚本并偷偷执行使用Base64编码PowerShell命令第三部分内网环境搭建实践实验1：搭建域环境环境准备：工具：VMware 系统镜像：WinServer2012、WinServer2008、Win7 WinServer2012配置（作为DC）：配置IP地址更改计算机名：控制面板 > 系统和安全 > 计算机名 > 更改安装域控制器和DNS服务升级服务器创建Active Directory用户添加测试用户（如testuser） Win7客户端配置：配置IP和DNS地址（指向DC的IP）测试ping DC是否通更改计算机名（如win7-X64-test）更改域名为hacke.testdb 使用域管理员账号密码登录 Win2008配置：同Win7配置IP和DNS 将主机加入域并改计算机名使用域账号登录实验2：搭建其他服务器环境可选搭建： Metasploit2/3 OwaspBWA DVWA 关键注意事项 DNS服务器通常与域控制器在同一台机器上一个域至少需要两台DC（主备）域渗透重点关注Domain Admins组权限父子域结构可有效降低信息交互压力活动目录是实现域环境的核心组件