内网渗透的基础知识（一）

内网渗透测试基础知识(一)

内网渗透是什么

• 内网渗透（Intranet Exploitation）

内网渗透是指获取目标服务器控制权之后，通过内网信息收集、内网代理、权限提升、横向移动等技术，对其所处的内网环境进行渗透，并最终获取内网其他主机权限的过程，如域控制器，运维主机等

内网工作环境

工作组

1、工作组（Work Group）是局域网中的一个概念。
2、它是最常见最简单最普通的资源管理模式，就是将不同的电脑按功能分别列入不同的组中，以方便管理。

• 通过此电脑属性-更改设置-计算机名更改-工作组

域（Domain）

域（domain）是一个比工作组更高级的计算机资源管理模式，既可以用于计算机数量较少的小规模网络环境，也可以用于计算机数量众多的大型网络环境。
域（domain）是一个有安全边界的计算机集合，在同一个域中的计算机彼此之间已经建立了信任关系，在域内访问其他机器，不再需要被访问机器的许可

单域

单域是指网络环境中只有一个域。在一个计算机数量较少，地理位置固定的小规模组织中，建立一个单独的域。

父域和子域

在某些情况下，为了满足某些特殊情况或者要求，需要在一个域中划分出多个域，被划分的域称为父域，划分出来的各部分域称为子域

域树

域树是多个域通过建立信任关系组成一个域集合。在域树中，所有的域共享同一表结构和配置，所有的域名形成一个连续的名字空间；域树中域的命名空间具有连续性，并且域名层次越深，级别越低。

在域树中，域管理员只能管理本域，不能访问或者管理其他域。如果两个域之间需要互相访问，就需要建立信任关系(Trust Relation)

域林

域林是指有一个或多个没有形成连续名字空间的域树组成域树集合

• 域林与域树的区别

域林中的域或域树之间没有形成连续的名字空间，而域树是由一些具有连续名字空间的域组成。
但是域林中的所有域树仍共享同一个表结构、配置和全局目录。

域控制器

• 什么是域控制器

域控制器(Domain Controller, DC，域控)是域环境核心的服务器计算机，用于在域中响应安全身份认证请求，负责允许或着拒绝发出请求的主机访问域内资源，以及对用户进行身份验证，存储用户账户信息并执行域的安全策略等。

一个域环境可以拥有一台或者多台域控制器，每台域控制器各自存储一份所在域的活动目录的可写副本，对活动墓库的任何修改都可以从源域控制器同步复制到域，域树或者域林的其他控制器上。即使一台瘫痪，另外一台域控制器可以继续工作，以保证环境的正常运行

活动目录

活动目录的含义

活动目录(Active Directory)是指安装在域控制器上，为整个域环境提供集中式目录管理服务的组件。

活动目录的主要功能

• 计算机集中管理 - 集中管理所有加入域的服务器及客户端计算机，统一下发组策略
• 用户集中管理： - 集中管理域用户，组织通讯录、用户组，对用户进行统一的身份认证，资源授权等。
• 资源集中管理： - 集中管理域中的打印机，文件共享服务等网络资源
• 环境集中配置： - 集中的配置域中计算机的工作环境，如统一计算机桌面，统一网络连接配置，统一计算机安全配置等
• 应用集中管理： - 对域中的计算机统一推送软件，安全补丁，防病毒系统，安装网络打印机等

Ntds.dit文件

Ntds.dit 文件是域环境的域控制器上保存的一个二进制文件，是主要的活动目录数据库，其文件的路径为“%SystemRoot%\ntds\ntds.dit".

非域环境即工作组环境中，用户的登录凭据等信息存储在本地SAM文件中。

活动目录的访问

• 使用微软官方提供的AD Explorer工具连接域控制器访问活动目录

可以方便浏览活动目录数据库、自定义快速入口、查看对象属性、编辑权限、进行精确搜寻等。

在域中任意一台主机上，以域用户身份进行连接域控制器，连接成功后可以查看域中的各种信息

活动目录的分区

活动目录可以支持数以千万的对象。为了扩大这些对象，微软将活动目录数据库划分为多个分区，以方便进行复制和管理，每个逻辑分区在域林中的域控制器之间分别复制更改。这些分区被称为上下文命名（Naming Context NC)

• 活动目录预定以了域分区、配置分区和架构分区三个分区

域分区

域分区（Domain NC）用于存储与该域有关的对象信息，这些信息是特定于该域的。如：域中计算机，用户，组，组织单位等信息。
在域林中，每个域的域控制器各自拥有一份属于自己的域分区，只会被复制到本域的所有域控制器中。

• 所圈出来的"DC=test,DC=com"就是test.com域的分区
• 域分区主要包括以下：- CN=Builtin：内置了本地域组的安全组的容器。- CN=Computers：机器用户容器，其中包含所有加入域的主机。- OU=Domain Controllers：域控制器的容器，其中包含域中所有的域控制器- CN=ForeignSecurityPrincipals：包含域中所有来自域的林外部域的组中成员- CN=Managed Service Accounts：托管服务账户的容器- CN=System：各种预配置对象的容器，包含信任对象、DNS对象和组策略对象。- CN=Users：用户和组对象的默认容器。

配置分区

配置分区（Configuration NC）存储整个域林的主要配置信息，包括有关站点、服务、分区和整个活动目录结构的信息。
整个域林共享一份想听的配置分区，会被复制到域林中所有的域控制器上。

架构分区

架构分区（Schema NC）存储整个域林的架构信息，包括活动目录中的所有类，对象和属性的定义数据。
整个域林共享一份相同的架构分区，会被复制到林中所有域的域控制器中。

• "CN=Schema,Cn=Configuration,DC=test,DC=com"就是架构分区

活动目录的查询

使用Adfind查询活动目录

• Adfind是一款C++语言编写的域中信息查询工具，可以在域中任何一台主机上使用。语法格式为

Adfind.exe [switches][-b basedn][-f filter][attr list]# -b 是指定一个BaseDN作为查询的根，-f为LDAP过滤条件，attr list 为需要显示的属性

• 实列：

# 执行下面命令：
Adfind.exe -b dc=test,dc=com -f "objectClass=computer" name operatingSystem
# 查询test.com域中的所有computer对象，并过滤对象的"name"和“operatingSystem”属性

Adfind.exe -b dc=test,dc=com -f "objectClass=user" cn
# 查询test.com域中的所有user对象，并过滤对象的“cn”属性

• Adfind.exe 常用命令
  查询需求AdFind命令查询test.com域的所有computer对象并显示所有属性Adfind.exe -b dc=test,dc=com -f “objectClass=computer”查询test.com域的所有computer对象并过滤对象的name和operatinfSystem的属性Adfind.exe -b dc=test.com,dc=com -f “objectClass=computer” name operatingSystem查询指定主机的相关信息Adfind.exe -sc c:<Name/SamAccountName> 例子：Adfind.exe -sc c:172_16_0_15查询当前域中主机的数量Adfind.exe -sc adobjcnt:computer查询当前域中被禁用的主机Adfind.exe -sc computers_disabled查询当前域中不需要密码的主机Adfind.exe -sc computers_pwdnotreqd查询域中在线的计算机Adfind.exe -sc computers_active查询test.com域的所以user对象并过滤对象的cn属性Adfind.exe -b dc=test,dc=com -f “objectClass=user” cn查询当前登录的用户信息和tokenAdfind.exe -sc whoami查询指定用户的相关信息Adfind.exe -sc u:<Name/SameAccoutName> 例子：Adfind.exe -sc u:administrator查询当前域中用户数量Adfind.exe -sc adobjcnt:user查询当前域中被禁用的用户Adfind.exe -sc users_disabled查询域中密码不过期的用户Adfind.exe -sc users_noexpire查询域中不需要密码的用户Adfind.exe -sc users_pwdnotreqd查询当前域中所有域控制器(返回FQDN信息)Adfind.exe dclist查询域中所有只读写的域控制器Adfind.exe -sc dclist:rodc查询当前域中所有可读写的域控制器Adfind.exe -sc dclist:!rodc查询所有的组策略对象并显示所有属性Adfind.exe -sc gpodmp查询域信任关系Adfind.exe -f “objectclass=trusteddomain”查询test.com域中具有高权限的SPNAdfind.exe -b “DC=test,DC=com” -f “&(servicePrincipalName=*)(admincount=1)” servicePrincipalName