既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上软件测试知识点,真正体系化!
开源项目:docs.qq.com/doc/DSlVlZExWQ0FRSE9H
有三种情况:本地普通用户、本地管理员用户、域内用户。
如果当前内网中存在域,那么本地普通用户只能查询本机相关信息,不能查询域内信息;而本地管理员用户和域内用户可以查询域内信息。
域内的所有查询都是通过域控制器实现的(基于LDAP协议),而这个查询需要经过权限认证,所以,只有域用户才拥有这个权限;当域用户执行查询命令时,会自动使用Kerberos协议进行认证,无需额外输入账号和密码。
本地管理员Administrator权限可以直接提升为System权限(使用PsExec等),因此,在域中,除普通用户外,所有的机器都有一个机器用户(用户名为机器名加上$)。在本质上,**机器的system用户对应的就是域里面的机器用户。**所以,使用System权限也可以运行域内的查询命令。
判断是否存在域
域控制器和DNS服务器是否在同一台服务器上?(使用nslookup反向解析)
systeminfo中的域即域名、登陆服务器指的是域控制器。
使用net time /domain可以判断当前用户是否是域用户(错误5),是否存在域。
探测域内存活主机
NetBIOS是局域网程序使用的一种API,为程序提供了请求低级别服务的统一的命令集。NetBIOS也是计算机的标识名,主要用于局域网中计算机的互访。
e.g. ARP(nbtscan、arp-scan)、ICMP(ping)、TCP/UDP(portscan、scanline)
扫描域内端口
端口的Banner信息,使用nc、telnet可以快速获取。
收集域内基础信息
域内查询命令在本质上都是通过LDAP协议到域控制器上进行查询的。
查询域、域内所有计算机、域内所有用户组列表(Domain Admins、Domain Controllers、Domain Users)、获取域密码信息、获取域信任信息。
在默认情况下,Domain Admins 和 Enterprise Admins 对域内所有域控制器有完全控制权限。
查找域控制器
获取域内的用户和管理员信息
查询所有域用户列表,查询域管理员用户。
域内Domain Admins组中的用户默认为域内机器的本地管理员用户。
定位域管理员
在内网中,通常会部署大量的网络安全系统和设备,例如IDS、IPS、日志审计、安全网关、反病毒软件等。
**在一个域中,当计算机加入域后,会默认给域管理员组赋予本地系统管理员权限。**也就是说,当计算机被添加到域中,成为域的成员主机后,系统会自动将域管理员组添加到本地系统管理员组中。因此,域管理员组的成员均可访问本地计算机,且具备完全控制权限。
在Windows域中取得了普通用户权限,希望在域内横向移动,需要知道域内用户登录的位置、他是否是任何系统的本地管理员、他所属的组、他是否有权访问文件共享等。
e.g. psloggedon.exe、PVEFindADUser.exe、netsess.exe、hunter、NetView、PowerView等
查找域管理进程
在获取了管理员权限的系统中寻找域管理员登录进程,进而搜集域管理员的凭据。
渗透测试人员在某个内网环境中获得了一个域普通用户的权限,首先通过各种方法获得当前服务器的本地管理员权限,然后分析当前服务器的用户登录列表及会话信息,知道哪些用户登陆了这台服务器。如果渗透测试人员通过分析发现,可以获取权限的登录用户都不是域管理员账户,同时没有域管理员组的用户登录这台服务器,就可以使用另一个账号并寻找该账号在内网的哪台机器上具有管理权限,再枚举这台机器上的登录用户,然后继续进行渗透测试,直至找到一个可以获取域管理员权限的有效路径为止。
域管理员模拟
第4章介绍
内网划分及拓扑结构
分析目标服务器所使用的的Web服务器、后端脚本、数据库、系统平台等。
常见Web架构:
- ASP + Access + IIS 5.0/6.0 + Windows Server 2003
- ASPX + MSSQL + IIS 7.0/7.5 + Windows Server 2008
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
了解详情》docs.qq.com/doc/DSlVlZExWQ0FRSE9H
