内⽹安全攻防:渗透测试实战指南之内⽹信息搜集
《内⽹安全攻防:渗透测试实战指南》第2章:内⽹信息搜集
内⽹渗透测试的核⼼是信息搜集。本章主要介绍了当前主机信息搜集、域内存活主机探测、域内端⼝扫描、域内⽤户和管理员权限的获取、如何获取域内⽹段划分信息和拓扑架构分析等,并介绍了域分析⼯具BloodHound的使⽤。
搜集本机信息
⽹络配置信息、操作系统及软件的信息、本机服务信息、进程列表、启动程序信息、计划任务、主机开机时间、⽤户列表、连接会话、端⼝列表、补丁列表、本机共享列表、路由表和Arp缓存表、防⽕墙相关配置、代理配置情况、远程连接服务等。
**WMIC(Windows Management Instrumentation Command-Line,Windows管理⼯具命令⾏)**是最有⽤的Windows命令⾏⼯具。Windows7以上版本的低权限⽤户才允许访问WMIC并执⾏相关查询操作。使⽤WMIC,不仅可以管理本地计算机,还可以管理同⼀域内的所有计算机(需要⼀定权限),⽽且在被管理的计算机上不可事先安装WMIC。
WMIC在信息搜集he后渗透测试阶段是⾮常实⽤的,可以调取和查看⽬标机器的进程、服务、⽤户、⽤
户组、⽹络连接、硬盘信息、⽹络共享信息、已安装的补丁、启动项、已安装的软件、操作系统的相关信息、时区等。使⽤wimic /?查看alias。
设置计划任务at在Win8已经弃⽤,取⽽代之的是schtasks。
安全狗禁⽌net,360也会弹窗,可以尝试net1,或者使⽤wmic,如net user -> wmic useraccount。
查询当前权限
有三种情况:本地普通⽤户、本地管理员⽤户、域内⽤户。
如果当前内⽹中存在域,那么本地普通⽤户只能查询本机相关信息,不能查询域内信息;⽽本地管理员⽤户和域内⽤户可以查询域内信息。
域内的所有查询都是通过域控制器实现的(基于LDAP协议),⽽这个查询需要经过权限认证,所以,只有域⽤户才拥有这个权限;当域⽤户执⾏查询命令时,会⾃动使⽤Kerberos协议进⾏认证,⽆需额外输⼊账号和密码。
本地管理员Administrator权限可以直接提升为System权限(使⽤PsExec等),因此,在域中,除普通⽤户外,所有的机器都有⼀个机器⽤户(⽤户名为机器名加上$)。在本质上,**机器的system⽤户对应的就是域⾥⾯的机器⽤户。**所以,使⽤System权限也可以运⾏域内的查询命令。
判断是否存在域
域控制器和DNS服务器是否在同⼀台服务器上?(使⽤nslookup反向解析)
systeminfo中的域即域名、登陆服务器指的是域控制器。
使⽤net time /domain可以判断当前⽤户是否是域⽤户(错误5),是否存在域。
探测域内存活主机
NetBIOS是局域⽹程序使⽤的⼀种API,为程序提供了请求低级别服务的统⼀的命令集。NetBIOS也是计算机的标识名,主要⽤于局域⽹中计算机的互访。
< ARP(nbtscan、arp-scan)、ICMP(ping)、TCP/UDP(portscan、scanline)
扫描域内端⼝
端⼝的Banner信息,使⽤nc、telnet可以快速获取。
收集域内基础信息
域内查询命令在本质上都是通过LDAP协议到域控制器上进⾏查询的。
查询域、域内所有计算机、域内所有⽤户组列表(Domain Admins、Domain Controllers、Domain Users)、获取域密码信息、获取域信任信息。
在默认情况下,Domain Admins 和 Enterprise Admins 对域内所有域控制器有完全控制权限。
查域控制器
获取域内的⽤户和管理员信息
查询所有域⽤户列表,查询域管理员⽤户。
域内Domain Admins组中的⽤户默认为域内机器的本地管理员⽤户。
定位域管理员
在内⽹中,通常会部署⼤量的⽹络安全系统和设备,例如IDS、IPS、⽇志审计、安全⽹关、反病毒软件等。
**在⼀个域中,当计算机加⼊域后,会默认给域管理员组赋予本地系统管理员权限。**也就是说,当计算机被添加到域中,成为域的成员主机后,系统会⾃动将域管理员组添加到本地系统管理员组中。因此,域管理员组的成员均可访问本地计算机,且具备完全控制权限。
取得管理员权限在Windows域中取得了普通⽤户权限,希望在域内横向移动,需要知道域内⽤户登录的位置、他是否是任何系统的本地管理员、他所属的组、他是否有权访问⽂件共享等。
< 、、、hunter、NetView、PowerView等
查域管理进程
在获取了管理员权限的系统中寻域管理员登录进程,进⽽搜集域管理员的凭据。
渗透测试⼈员在某个内⽹环境中获得了⼀个域普通⽤户的权限,⾸先通过各种⽅法获得当前服务器的本地管理员权限,然后分析当前服务器的⽤户登录列表及会话信息,知道哪些⽤户登陆了这台服务器。如果渗透测试⼈员通过分析发现,可以获取权限的登录⽤户都不是域管理员账户,同时没有域管理员组的⽤户登录这台服务器,就可以使⽤另⼀个账号并寻该账号在内⽹的哪台机器上具有管理权限,再枚举这台机器上的登录⽤户,然后继续进⾏渗透测试,直⾄到⼀个可以获取域管理员权限的有效路径为⽌。
域管理员模拟
第4章介绍
内⽹划分及拓扑结构
分析⽬标服务器所使⽤的的Web服务器、后端脚本、数据库、系统平台等。
常见Web架构:
ASP + Access + IIS 5.0/6.0 + Windows Server 2003
ASPX + MSSQL + IIS 7.0/7.5 + Windows Server 2008
PHP + MySQL + IIS、Apache、Nginx
JSP + MSSQL、ORACLE + Tomcat
内⽹通常分为DMZ、办公区和核⼼区(⽣产区)。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论