再探内网(域)渗透

2012-09-26 613767人围观 ,发现 42 个不明物体 WEB安全

新菜一名,请勿拍砖.
希望能够通过此文认识更多热衷于渗透的朋友.
Mail:hap.ddup[AT]gmail.com

信息收集是域渗透很重要的一步。信息是否详尽,直接关系到渗透是否能够顺利完成.

假设现在已经拥有一台内网[]机器,取名X-007.

1-1.内网[]信息收集

A.本机X-007信息收集.

          [+]------用户列表[Windows用户列表/邮件用户/...]
                                       ---->分析Windows用户列表,不要忽略administrator.
                                       ---->分析邮件用户,内网[域]邮件用户,通常就是内网[域]用户,例如:owa
          [+]------进程列表
                                       ---->分析杀毒软件/安全监控工具等
                                       ---->邮件客户端
                                       ---->VPN等
          [+]------服务列表
                                       ---->与安全防范工具有关服务[判断是否可以手动开关等]
                                       ---->存在问题的服务[权限/漏洞]
          [+]------端口列表
                                       ---->开放端口对应的常见服务/应用程序[匿名/权限/漏洞等]
                                       ---->利用端口进行信息收集,建议大家深入挖掘[NETBIOS,SMB等]
          [+]------补丁列表
                                       ---->分析Windows补丁
                                       ---->第三方软件[Java/Oracle/Flash等]漏洞
          [+]------本机共享[域内共享很多时候相同]
                                       ---->本机共享列表/访问权限
                                       ---->本机访问的域共享/访问权限
          [+]------本地用户习惯分析
                                       ---->历史记录
                                       ---->收藏夹
                                       ---->文档等

B.扩撒信息收集

          [+]------利用本机获取的信息收集内网[域]其他机器的信息.
       ----用户列表/共享/进程/服务等.[参考上面]
 
          [+]------收集Active Directory信息
       ----最好是获取AD副本.  

   ------------------------------  常见信息收集命令----------------------------------
   net user                   ------> 本机用户列表
   net localhroup administrators  ------> 本机管理员[通常含有域用户]
   net user /domain     ------> 查询域用户
   net group /domain  ------> 查询域里面的工作组
   net group "domain admins" /domain  ------> 查询域管理员用户组
   net localgroup administrators /domain  ------> 登录本机的域管理员
   net localgroup administrators workgroup\user001 /add  ----->域用户添加到本机
   net group "Domain controllers"   -------> 查看域控制器(如果有多台)
   ----------------------------------------------------------------------------------------
   ipconfig /all            ------> 查询本机IP段,所在域等
   net view                  ------> 查询同一域内机器列表
   net view /domain   ------> 查询域列表
   net view /domain:domainname  -----> 查看workgroup域中计算机列表
 -------------------第三方信息收集-----------------
 NETBIOS 信息收集工具
 SMB信息收集
 空会话信息收集
 端口信息收集
 漏洞信息收集
 ……

如果可能,建议弄一张内网拓扑图,这样方便下面的渗透工作.

1-2.内网[]渗透

[推荐阅读]

 黑客大曝光-前三章
 内网渗透 by 樱木花道
 Microsoft-word-pen-testing-windows-active-directory
 Pen-testing-windows-active-directory
 Windows Privilege Escalation Part 1
 Windows Privilege Escalation Part 2

内网[]渗透,不外乎获取内网[]最高权限.
通常做法就是拿到某个域管理员的口令,然后控制域服务器,获取更多的信息.
如何获取域管理员口令,做法可能各不相同.
如果大家有更好的思路,请不要吝啬,一起学习.

这些评论亮了

  • thanks (8级) FreeBuf常务处主任 回复
    @装逼哥  只关注拿域控也是传统思维和不靠谱的教程作祟,一切还看你渗透测试的目的和需要什么。试问敏感信息都在linux服务器上不在win域内,网络作了隔离,拿到win域控又怎样?个人认为内网里所有机器(PC、服务器、网络设备等)都可能包含敏感信息,在渗透测试中发现和探索整体网络结构是关键。
    )25( 亮了
  • 装逼哥 (1级) ISO27001LA主任审核员 回复
    装逼哥又来了
    概括一句 内网渗透是什么?
    内网渗透类似于运维 和正常运维不同的是内网渗透的时候是在没有权限下的运维
    LZ说的信息搜集 本质上无外乎两种 基于文件的和基于命令的 这里不详述
    不管是windows也好linux也好 一般内网渗透的目的就是获取域控
    这里永远要记住一句话 用管理员的思维来思考问题 这个前提理解好了 什么内网都很容易
    仔细研究下AD的东东 你会发现好多的惊喜 举个例子收集域信息ds**** 就比net好用太多了
    )11( 亮了
  • Gall (4级) 回复
    @g.r0b1n 
    dsquery computer -----> finds computers in the directory.
    dsquery contact -----> finds contacts in the directory.
    dsquery subnet -----> finds subnets in the directory.
    dsquery group -----> finds groups in the directory.
    dsquery ou -----> finds organizational units in the directory.
    dsquery site -----> finds sites in the directory.
    dsquery server -----> finds domain controllers in the directory.

    dsquery user -----> finds users in the directory.
    dsquery quota -----> finds quota specifications in the directory.
    dsquery partition -----> finds partitions in the directory.
    dsquery * -----> finds any object in the directory by using a generic LDAP query.
    dsquery server –domain Yahoo.com | dsget server –dnsname –site --->搜索域内域控制器的DNS主机名和站点名
    dsquery computer domainroot –name *-xp –limit 10 -----> 搜索域内以-xp结尾的机器10台
    dsquery user domainroot –name admin* -limit ----> 搜索域内以admin开头的用户10个
    ……
    ……
    [注:dsquery来源于Windows Server 2003 Administration Tools Pack]
    )8( 亮了
发表评论

已有 42 条评论

取消
Loading...
css.php