內(nèi)網(wǎng)知識整理

@TOC

一、內(nèi)網(wǎng)

內(nèi)網(wǎng)也指 局域網(wǎng)（ Local Area Network ， LAN ） 是指在某一區(qū)域內(nèi)由多臺計算機互聯(lián)成的計算機組。一般是方圓幾千米以內(nèi)。局域網(wǎng)可以實現(xiàn)文件管理、應用軟件共享、打印機共享、工作組內(nèi)的歷程安排、電子郵件和傳真通信服務等功能。

? 內(nèi)網(wǎng)是封閉型的，它可以由辦公室內(nèi)的兩臺計算機組成，也可以由一個公司內(nèi)的上千臺計算機組成。列如銀行、學校、企業(yè)工廠、政府機關(guān)、網(wǎng)吧、單位辦公網(wǎng)等都屬于此類。

二、工作組

將不同計算機按功能分別列入不同的組內(nèi)

工作組（ Work Group ）， 在一個大的單位內(nèi)，可能有成百上千臺電腦互相連接組成局域網(wǎng)，它們都會列在“網(wǎng)絡（網(wǎng)上鄰居）”內(nèi)，如果這些電腦不分組，可想而知有多么混亂，要找一臺電腦很困難。為了解決這一問題，就有了“工作組”這個概念，將不同的電腦一般按功能（或部門）分別列入不同的工作組中，如技術(shù)部的電腦都列入“技術(shù)部”工作組中，行政部的電腦都列入“行政部”工作組中。你要訪問某個部門的資源，就在“網(wǎng)絡”里找到那個部門的工作組名，雙擊就可以看到那個部門的所有電腦了。相比不分組的情況就有序的多了，尤其是對于大型局域網(wǎng)絡來說。

三、域(Domain)

域 (Domain)是一個有安全邊界的計算機集合（ 安全邊界 意思是在兩個域中，一個域中的用戶無法訪問另一個域中的資源），可以簡單的把域理解成升級版的“工作組”，相比工作組而言,它有一個更加嚴格的安全管理控制機制,如果你想訪問域內(nèi)的資源,必須擁有一個合法的身份登陸到該域中,而你對該域內(nèi)的資源擁有什么樣的權(quán)限,還需要取決于你在該域中的用戶身份。

單域

父域，子域

域樹（tree）

域森林（forest）

DNS域名服務器

單域

小公司

在一般的具有固定地理位置的小公司里，建立一個域就可以滿足所需。一般在一個域內(nèi)要建立至少兩個域服務器，一個作為DC，一個是備份DC。如果沒有第二個備份DC，那么一旦DC癱瘓了，則域內(nèi)的其他用戶就不能登陸該域了，因為活動目錄的數(shù)據(jù)庫（包括用戶的帳號信息）是存儲在DC中的。而有一臺備份域控制器（BDC），則至少該域還能正常使用，期間把癱瘓的DC恢復了就行了。

父域

多個辦公地點的公司

出于管理及其他一些需求，需要在網(wǎng)絡中劃分多個域，第一個域稱為父域 ，各分部的域稱為該域的 子域 。比如一個大公司，它的不同分公司在不同的地理位置，則需父域及子域這樣的結(jié)構(gòu)。如果把不同地理位置的分公司放在同一個域內(nèi)，那么他們之間信息交互（包括同步，復制等）所花費的時間會比較長，而且占用的帶寬也比較大。（因為在同一個域內(nèi)，信息交互的條目是很多的，而且不壓縮；而在域和域之間，信息交互的條目相對較少，而且壓縮。）還有一個好處，就是子公司可以通過自己的域來管理自己的資源。還有一種情況，就是出于安全策略的考慮，因為每個域都有自己獨有的安全策略。比如一個公司的財務部門希望能使用特定的安全策略（包括帳號密碼策略等），那么可以將財務部門做成一個子域來單獨管理。

域樹

建立信任關(guān)系的域集合，兩個域相互之間可以訪問

? 域樹 指若干個域通過建立信任關(guān)系組成的集合。一個域管理員只能管理本域的內(nèi)部，不能訪問或者管理其他的域，二個域之間相互訪問則需要建立 信任關(guān)系 (Trust Relation)。信任關(guān)系是連接在域與域之間的橋梁。域樹內(nèi)的父域與子域之間不但可以按需要相互進行管理，還可以跨網(wǎng)分配文件和打印機等設備資源，使不同的域之間實現(xiàn)網(wǎng)絡資源的共享與管理，以及相互通信和數(shù)據(jù)傳

輸。在一個域樹中，父域可以包含很多子域，子域是相對父域來說的，指域名中的每一個段。子域只能使用父域作為域名的后綴，也就是說在一個域樹中，域的名字是連續(xù)的。

域森林

? 域森林 指若干個域樹通過建立信任關(guān)系組成的集合。可以通過域樹之間建立的信任關(guān)系來管理和使用整個森林中的資源，從而又保持了原有域自身原有的特性。

DNS域名服務器（Domain Name Server）

? DNS 域名服務器 是進行域名(domain name)和與之相對應的IP地址 (IPaddress)轉(zhuǎn)換的服務器。

? 在域樹的介紹中，可以看到域樹中的域的名字和DNS域的名字非常相似，實際上域的名字就是DNS域的名字，因為域中的計算機使用DNS來定位域控制器和服務器以及其他計算機、網(wǎng)絡服務等。

? 一般情況下,我們在內(nèi)網(wǎng)滲透時就通過尋找DNS服務器來定位域控制器，因為通常DNS服務器和域控制器會處在同一臺機器上

? 域控制器（必須有，其他都可以沒有）

? 成員服務器

? 客戶機

? 獨立服務器

域控制器

（ Domain Controller ，簡寫為 DC ）用于存放活動目錄數(shù)據(jù)庫，域中必須有，是一個域中的一臺類似管理服務器的計算機，相當于一個單位的門衛(wèi)一樣，它負責每一臺聯(lián)入的電腦和用戶的驗證工作，域內(nèi)電腦如果想互相訪問首先都是經(jīng)過它的審核。

成員服務器

加入域，但沒有安裝活動目錄的計算機

文件服務器，應用服務器，數(shù)據(jù)庫服務器，web服務器，郵件服務器，防火墻，遠程訪問服務器，打印機服務器

客戶機

域中的計算機安裝其他OS的計算機，用戶利用這些計算機和域中的賬戶可以登陸域。

獨立服務器

和域沒有關(guān)系，不加入域，不安裝活動目錄。

管理員通過配置安全組訪問權(quán)限，為所有加入安全組的用戶賬號配置同樣的權(quán)限

1、本地域組：多域用戶訪問單域資源（訪問同一個域）

本地域組的成員可包括Windows Server2003、Windows 2000或WindowsNT域中的其他組和賬戶，而且只能在其所在域內(nèi)指派權(quán)限。

2、全局組： 單域用戶訪問多域資源（必須是一個域里面的用戶）

全局組的成員可包括其所在域中的其他組和賬戶，而且可在林中的任何域中指派權(quán)限；

3、通用組： 多域用戶訪問多域資源

一句話記憶：域本地組來自全林，作用域本域；全局組來自本域，作用域全林；通用組來自全林，作用域全林

四、活動目錄

活動目錄（ Active Directory ） 是域環(huán)境中提供目錄服務的組件。

活動目錄（AD）和工作組是基于WINDOWS的局域網(wǎng)中兩種不同的網(wǎng)絡管理模式。

工作組以計算機為管理單元，各計算機管理員身份的用戶在資源共享上具有完全自主。一般小型網(wǎng)絡采取這種組建模式的居多。

活動目錄是大中型網(wǎng)絡的管理模式，是典型的以用戶為單位的管理模式。

? 目錄 是什么？目錄就是存儲有關(guān)網(wǎng)絡對象（如用戶、組、計算機、共享資源、打印機和聯(lián)系人等）的信息。目錄服務是幫助用戶快速準確的從目錄中查找到他所需要的信息的服務。

? 如果將企業(yè)的內(nèi)網(wǎng)看成是一本字典，那么內(nèi)網(wǎng)里的資源就是字典的內(nèi)容， 活動目錄 就相當于字典的索引。即活動目錄存儲的是網(wǎng)絡中所有資源的快捷方式，用戶通過尋找快捷方式而定位資源。

? 在活動目錄中，管理員可以完全忽略被管理對象的具體地理位置，而將這些對象按照一定的方式放置在不同的容器中。由于這種組織對象的做法不考慮被管理對象的具體地理位置，這種組織框架稱為“ 邏輯結(jié)構(gòu) ”。

? 活動目錄的邏輯結(jié)構(gòu)就包括上面講到的 組織單元（ OU ）、域（ domain ）、域樹（ tree ）、域森林（ forest ） 。在域樹內(nèi)的所有域共享一個活動目錄，這個活動目錄內(nèi)的數(shù)據(jù)分散地存儲在各個域內(nèi)，且每一個域只存儲該域內(nèi)的數(shù)據(jù)。

? 帳號集中管理，所有帳號均存在服務器上,方便對帳號的重命令/重置密碼。

? 軟件集中管理，統(tǒng)一推送軟件，統(tǒng)一安裝網(wǎng)絡打印機等。利用軟件發(fā)布策略分發(fā)軟件,可以讓用戶自由選擇安裝軟件。

? 環(huán)境集中管理，利用AD可以統(tǒng)一客戶端桌面,IE,TCP/IP等設置。

? 增強安全性，統(tǒng)一部署殺毒軟件和掃毒任務，集中化管理用戶的計算機權(quán)限、統(tǒng)一制訂用戶密碼策略等，可監(jiān)控網(wǎng)絡，資料統(tǒng)一管理。

? 更可靠，更少的宕機時間。如：利用AD控制用戶訪問權(quán)限，利用群集、負載均衡等技術(shù)對文件服務器進行容災設定，更可靠，宕機時間更少。

? 活動目錄為Microsoft統(tǒng)一管理的基礎(chǔ)平臺，isa,exchange,sms等服務都依賴于這個基礎(chǔ)平臺。

? 如果網(wǎng)絡規(guī)模較大，我們就會考慮把網(wǎng)絡中的眾多對象：計算機、用戶、用戶組、打印機、共享文件等，分門別類、井然有序地放在一個大倉庫中，并做好檢索信息，以利于查找、管理和使用這些對象（資源）。這個有層次結(jié)構(gòu)的數(shù)據(jù)庫，就是活動目錄數(shù)據(jù)庫，簡稱AD庫。

? 那么我們應該把這個數(shù)據(jù)庫放在哪臺計算機上呢？規(guī)定是這樣的，我們把存放有活動目錄數(shù)據(jù)庫的計算機就稱為DC。所以說我們要實現(xiàn)域環(huán)境，其實就是要安裝AD，當內(nèi)網(wǎng)中的一臺計算機安裝了AD后，它就變成了DC

問題？

? 假如一個公司有200臺電腦，我們希望某臺電腦上的賬戶Alan可以訪問每臺電腦內(nèi)的資源或者可以在每臺電腦上登錄。那么在“工作組”環(huán)境中，我們必須要在這200臺電腦的各個SAM數(shù)據(jù)庫中創(chuàng)建Alan這個賬戶。一旦Alan想要更換密碼，必須要更改200次!現(xiàn)在只是200臺電腦的公司，如果是有5000臺電腦或者上萬臺電腦的公司呢?

答案！

? 在域環(huán)境中，只需要在活動目錄中創(chuàng)建一次Alan賬戶，那么就可以在任意200臺電腦中的一臺上登錄Alan，如果要為Alan賬戶更改密碼，只需要在活動目錄中更改一次就可以了。

五、DMZ

? DMZ稱為“隔離區(qū)”，也稱“非軍事化區(qū)”。是為了解決安裝防火墻后外部網(wǎng)絡不能訪問內(nèi)部網(wǎng)絡服務器的問題，而設立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)。

? 這個緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間的小網(wǎng)絡區(qū)域內(nèi)，在這個小網(wǎng)絡區(qū)域內(nèi)可以放置一些必須公開的服務器設施，如企業(yè)Web服務器、FTP服務器和論壇等。

? 另一方面，通過這樣一個DMZ區(qū)域，更加有效地保護了內(nèi)部網(wǎng)絡，因為這種網(wǎng)絡部署，比起一般的防火墻方案，對攻擊者來說又多了一道關(guān)卡。

（1）內(nèi)網(wǎng)可以訪問外網(wǎng)

內(nèi)網(wǎng)的用戶需要自由地訪問外網(wǎng)。在這一策略中，防火墻需要執(zhí)行NAT。

（2）內(nèi)網(wǎng)可以訪問DMZ

此策略使內(nèi)網(wǎng)用戶可以使用或者管理DMZ中的服務器。

（3）外網(wǎng)不能訪問內(nèi)網(wǎng)

這是防火墻的基本策略了，內(nèi)網(wǎng)中存放的是公司內(nèi)部數(shù)據(jù)，顯然這些數(shù)據(jù)是不允許外網(wǎng)的用戶進行訪問的。如果要訪問，就要通過VPN方式來進行。

（4）外網(wǎng)可以訪問DMZ

DMZ中的服務器需要為外界提供服務，所以外網(wǎng)必須可以訪問DMZ。同時，外網(wǎng)訪問DMZ需要由防火墻完成對外地址到服務器實際地址的轉(zhuǎn)換。

（5）DMZ不能訪問內(nèi)網(wǎng)

如不執(zhí)行此策略，則當入侵者攻陷DMZ時，內(nèi)部網(wǎng)絡將不會受保護。

（6）DMZ不能訪問外網(wǎng)

此條策略也有例外，比如我們的例子中，在DMZ中放置郵件服務器時，就需要訪問外網(wǎng)，否則將不能正常工作。

六、相關(guān)名詞解釋

1、SAM

SAM(安全賬戶管理器)，SAM是用來存儲Windows操作系統(tǒng)密碼的數(shù)據(jù)庫文件，為了避免明文密碼泄漏，SAM文件中保存的是明文密碼經(jīng)過一系列算法處理過的Hash值，被保存的Hash分為LM Hash、NTLMHash。在用戶在本地或遠程登陸系統(tǒng)時，會將Hash值與SAM文件中保存的Hash值進行對比。在后期的Windows系統(tǒng)中，SAM文件中被保存的密碼Hash都被密鑰SYSKEY加密。

SAM文件在磁盤中的位置在C:\windows\system32\config\sam

SAM文件在Windows系統(tǒng)啟動后被系統(tǒng)鎖定，無法進行移動和復制

2、Hash

Windows系統(tǒng)為了保證用戶明文密碼不會被泄漏，將明文密碼轉(zhuǎn)換為Hash值進行身份驗證，被保存在SAM或ntds.dit中。

獲取Hash方法

1.使用卷影副本將SAM文件導出，配合SYSKEY利用mimikatz等工具獲得NTLM Hash

2.使用mimikatz等工具讀取lsass.exe進程，獲取Hash

3.配合其他漏洞和手法獲取net-NTLM Hash 4.net-NTLM Hash可以使用Responder或Inveigh等工具獲取

3、ntds.dit

ntds.dit是AD中的數(shù)據(jù)庫文件，它被保存在域控制器c:\windows\system32\ntds\NTDS.DIT位置。活動目錄的數(shù)據(jù)庫文件（ntds.dit）包含有關(guān)活動目錄域中所有對象的所有信息，其中包含所有域用戶和計算機帳戶的密碼哈希值。該文件在所有域控制器之間自動同步，它只能被域管理員訪問和修改。

4、Kerberos

Kerberos是一種網(wǎng)絡認證協(xié)議，對個人通信以安全的手段進行身份認證。其設計目標是通過密鑰系統(tǒng)為客戶機/服務器應用程序提供強大的認證服務。 它允許某實體在非安全網(wǎng)絡環(huán)境下通信，向另一個實體以一種安全的方式證明自己的身份。該認證過程的實現(xiàn)不依賴于主機操作系統(tǒng)的認證，無需基于主機地址的信任，不要求網(wǎng)絡上所有主機的物理安全，并假定網(wǎng)絡上傳送的數(shù)據(jù)包可以被任意地讀取、修改和插入數(shù)據(jù)。在以上情況下， Kerberos 作為一 種可信任的第三方認證服務，是通過傳統(tǒng)的密碼技術(shù)(如:共享密鑰)執(zhí)行認證服務的。

協(xié)議內(nèi)容

AS：認證服務器

KDC：密鑰分發(fā)中心

TGT：票據(jù)授權(quán)票據(jù)，票據(jù)的票據(jù)

TGS：票據(jù)授權(quán)服務器

5、SMB

SMB(Server Message Block)被稱為服務器消息塊，又叫網(wǎng)絡文件共享系統(tǒng)(CIFS)。在Windows2000中，SMB除了基于NBT實現(xiàn)，還可以直接通過445端口實現(xiàn)。

主要功能

使網(wǎng)絡上的機器能夠共享計算機文件、打印機、串行端口和通訊等資源。

6、IPC(進程間通信)

指至少兩個進程或線程間傳送數(shù)據(jù)或信號的一些技術(shù)或方法。

7、WMI

WMI(Windows管理規(guī)范)，由一系列對Windows Driver Model的擴展組成，它通過儀器組件提供信息和通知，提供了一個操作系統(tǒng)的接口。在滲透測試過程中，攻擊者往往使用腳本通過WMI接口完成對Windows操作系統(tǒng)的操作，遠程WMI連接通過DCOM進行。例如：WMIC、Invoke-WmiCommand、Invoke-WMIMethod等。另一種方法是使用Windows遠程管理（WinRM）。

七、內(nèi)網(wǎng)滲透常用端口

53

DNS服務，在使用中需要用到TCP/UDP 53端口，AD域的核心就是DNS服務器，AD通過DNS服務器定位資源

88

Kerberos服務，在使用中需要用到TCP/UDP 88端口，Kerberos密鑰分發(fā)中心(KDC) 在該端口上偵聽Ticket請求

135

135端口主要用于使用RPC協(xié)議并提供DCOM服務。

137

NetBIOS-NS(名稱服務)，在使用中需要用到TCP/UDP 137端口

139

Session Server(會話服務),在使用中需要用到TCP/UDP 139端口，允許兩臺計算機建立連接

389

LDAP服務(輕量級目錄訪問協(xié)議)，在使用中需要用到TCP/UDP 389端口，如果需要使用SSL，需要使用636端口，

445

主要用于共享文件夾或共享打印，存在較多漏洞，如MS08-067、MS17-010

3268

Global Catalog(全局編錄服務器)，如果需要使用SSL，需要用到3269端口，主要用于用戶登錄時，負責驗證用戶身份的域控制器需要通過防火墻，來向“全局編錄”查詢用戶所隸屬的通用組

八、常用工具和方式

1.滲透框架

Cobalt Strike

Empire

NiShang

Metasploit

Powersploit

2.信息收集

Netsess.exe

Powerview

Bloodhound

Nmap

3.權(quán)限提升

Powerup

UACME

假冒令牌:

1.Incognito

2.Powershell – Invoke-TokenManipulation.ps1

3.Cobalt Strike – steal_token

4.口令爆破

Hydra

John

Hashcat

5.憑據(jù)竊取

Mimikatz

Procdump

QuarksPwDump

LaZagne.exe

windows工具:

mimikatz

wce

Invoke-WCMDump

mimiDbg

LaZagne

nirsoft_package

QuarksPwDump

fgdump

linux工具:

LaZagne

mimipenguin

6.橫向滲透

psexec

wmi

(1)wmic (2)wmiexec.vbs (3)Invoke-WMIMethod

WinRM

DCOM

WCE

組策略種馬

7.MIMT

Responder

Impacket

Invoke-Inveigh.ps1

Cain

8.Bypass AV

Invoke-Obfuscation

Veil

shellcode loder

reflect dll inject

數(shù)據(jù)庫 網(wǎng)絡

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔相應法律責任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實的內(nèi)容，請聯(lián)系我們jiasou666@gmail.com 處理，核實后本網(wǎng)站將在24小時內(nèi)刪除侵權(quán)內(nèi)容。

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔相應法律責任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實的內(nèi)容，請聯(lián)系我們jiasou666@gmail.com 處理，核實后本網(wǎng)站將在24小時內(nèi)刪除侵權(quán)內(nèi)容。