内网信息搜集

目录

内网基础知识

基本流程图

怎么判断是否在域内

常规信息类收集-应用&服务&权限等

cs信息搜集

bloodhound安装及使用


内网基础知识

  • 工作组:将不同的计算机按照功能分别列入不同的组,想要访问某个部门的资源,只要在【网络】里双击该部门的工作组名

  • 域Domain:一个公司有10台计算机,我们希望某台计算机的账户ailx10可以访问每台计算机的资源,那么,在工作组环境中,我们必须在这10台计算机各自的SAM数据库中创建ailx10这个账户。

一般局域网<工作组<内网域

域是一个有安全边界的计算机集合,与工作组相比,域的安全管理机制更加严格,用户想要访问域内的资源,必须以合法的身份登录域,而用户对域内的资源拥有什么样的权限,取决于用户在域内的身份。

域控制器DC,是域中的一台类似管理服务器的计算机,负责所有接入的计算机和用户的验证工作,也就是说域内所有用户的密码Hash都保存在域控制器中。

  • 活动目录AD,是指域环境中提供目录服务的组件。目录用于存储有关网络对象的信息,例如:用户、组、计算机、共享资源、打印机、联系人等。

目录服务:帮助用户快速的从目录中找到其所需要的信息的服务

活动目录实现了目录服务,为企业提供了网络环境的集中式管理机制,活动目录的主要功能:

  1. 账号集中管理:所有账号都存储在服务器中

  2. 软件集中管理:统一推送软件、安装软件

  3. 环境集中管理:统一客户端桌面、IE设置

  4. 增强安全性:统一部署杀毒软件和病毒扫描任务、统一制定用户密码策略

基本流程图

1844674407340160555818446744072956488586(1)

怎么判断是否在域内

cmd输入,看回显

net view /domain
或者
net time /domain
net user /domain

这是有域的

image-20240221224419247

这是没有,告诉你找不到域

image-20240221224508467

常规信息类收集-应用&服务&权限等

systeminfo 详细信息
netstat -ano 端口列表
route print 路由表
net start 启动服务
tasklist 进程列表
schtasks 计划任务
ipconfig /all 判断存在域
net view /domain 判断存在域
net time /domain 判断主域
netstat -ano 当前网络端口开放
nslookup 域名 追踪来源地址
wmic service list brief 查询本机服务
net config workstation 查询当前登录域及登录用户信息
wmic startup get command,caption 查看已启动的程序信息
#架构信息类收集-网络&用户&域控等
net view /domain 查询域列表
net time/domain 从域控查询时间,若当前用户是域用户会从域控返回当前时间,亦
用来判 断主域,主域一般用做时间服务器
net localgroup administrators 本机管理员【通常含有域用户】
net user /domain 查询域用户(当前域)
net group /domain 查询域工作组
net group "domain computers" /domain 查看加入域的所有计算机名
net group "domain admins" /domain 查询域管理员用户组和域管用户
net localgroup administrators /domain 查看域管理员
net group "domain controllers" /domain 查看域控
net accounts /domain 查看域密码策略

获取域控ip

先net time /domain

会先域控请求,同时获得域控的计算机名

再ping域控就会解析它的ip

image-20240221225750686

查询域管理员用户组和域管用户

net group "domain admins" /domain

image-20240221230020440

cs信息搜集

使用cs生成可执行exe文件

拖至win7虚拟机运行,当然一定会被杀(exe文件免杀后期会说)先关了杀毒软件,包括windous自带的安全中心

运行之后,cs上线

image-20240228205632306

重新设置会话延迟

image-20240228205727871

设置成1或者0

image-20240228205802431

发现last变成毫秒了

可以搜索基本信息了

image-20240228205938371

image-20240228210117791

图示里可以看见你的获取信息

目标列表可以看见你攻击靶机

image-20240228210519309

在这可以看到截图信息

image-20240228210615376

接下来查看hash值和抓取明文密码

直接上,会回显要求管理员权限,接下来提权,win7,我们使用ms14-058这个漏洞提权

可以装上这些插件

image-20240228210907466

也可以只在网上装上cs的提权漏洞

image-20240228211010387

提权之后会发现多了一台system的主机,对其进行抓取hash何抓取明文密码

image-20240228211112387

hash值

image-20240228212107414

明文密码,到密码凭证下查看,有的是哈希值,有的是未加密密码

image-20240228212930716

然后找到其他服务器,横向移动

image-20240228222717135

选择已有的密码,选择监听

image-20240228222844978

如果成功就会上线一台新的靶机,这个要看运气

bloodhound安装及使用

首先下载俩个软件

一个是本地运行的软件,我下载的是win32-x64版本

Releases · BloodHoundAD/BloodHound · GitHub

在本地安装 BloodHound 完成后,需要进行数据的采集与导入,数据的采集可以使用 ps1 脚本或者使用 exe 程序收集,需要使用对应版本的数据采集工具。

下载地址: https://github.com/BloodHoundAD/BloodHound/tree/f4d9c1af1529124d33c9f360a27686eea51755e1/Collectors

如图

image-20240229172234392

接下来就是上传文件 ,先文件浏览,然后上传下载的exe文件或者脚本

image-20240229172516487

不同文件的命令也不同

# 二进制采集工具命令:
SharpHound.exe -c all
# powershell采集工具命令:
powershell -exec bypass -command "Import-Module ./SharpHound.ps1; Invoke-BloodHound -c all"

image-20240229212534169

运行完成后会生成一个以时间命名的zip文件

接着下载neo4j

Neo4j Deployment Center - Graph Database & Analytics

我下载的是社区版

image-20240301115238019

接着cmd在bin目录运行解压的下载的zip文件

neo4j.bat console

image-20240301115528683

浏览器访问http://127.0.0.1:7474/browser/

账号密码都是 neo4j

Host : http://localhost:7474
Username : neo4j
Password : neo4j

修改密码123456或者其他

打开本地下载运行的bloodhound.exe文件登录上面修改的账号密码

然后将靶机上获取的zip文件上传到这个程序上

image-20240301115939092

这里可以看见有多少个主机,有多少个组等基本信息

image-20240301120208150

analysis可以帮我们找到,一些信息,一般都是英文,可以翻译

  • 查询所有域管理员

  • 寻找到域管理员的最短路径

  • 查找具有DCSync权限的主体

  • 具有外部域组成员资格的用户

  • 具有外部域名组成员资格的组

  • 映射域信任

  • 到无约束委托系统的最短路径

  • 到达Kerberoastable用户的最短路径

  • 从Kerberoastable用户到域管理员的最短路径

  • 拥有的主体的最短路径

  • 从拥有的主体到域管理员的最短路径

  • 到高价值目标的最短路径

  • 查找域用户是本地管理员的计算机

  • 查找域用户可以读取密码的计算机

  • 从域用户到高价值目标的最短路径

  • 找到从域用户到高价值目标的所有路径

  • 找到域用户可以RDP的工作站

  • 找到域用户可以RDP的服务器

  • 查找域用户组的危险权限

  • 找到高价值群体中能够支持kerberoable的成员

  • 列出所有kerberoable用户

  • 查找具有大多数特权的Kerberoastable用户

  • 查找到非域控制器的域管理登录

  • 查找不支持操作系统的计算机

  • 查找AS-REP Roastable用户(DontReqPreAuth)

image-20240301120447270

点击任图中任意用户,可以查看该用户Name、DisPlayName、最后修改密码时间、最后登陆时间、该用户登陆在那台计算机存在Session,是否启动、属于那些组、拥有那些机器的本地管理员权限、对访问对象对控制权限等,BloodHound可以将这些以图表对形式展示出来,方便Pentester更快对进行横向渗透,提升权限

image-20240301120931841

其他具体方法可以看这位师傅写的很详细内网渗透工具bloodhound安装及使用_bloodhound使用-CSDN博客

image-20240301174204983

还可以参考这个师傅BloodHound官方使用指南 - 渗透测试中心 - 博客园 (cnblogs.com)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/712240.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

pyqt教程

一、组件安装配置 1.安装组件 在Anaconda Prompt下进入自己的python环境 pip install PyQt5 pip install PyQt5-tools 2.vscode安装插件 3.配置路径 配置Pyuic:Cmd与Qtdesigner:Path路径 1.Pyuic:Cmd路径 一般是在你安装的python环境下的 \Scripts\pyuic5.exe 2.Qtdesigner:P…

anaconda简介以及安装(Windows)

介绍 Anaconda是一个开源的Python发行版本&#xff0c;它是一个打包的集合&#xff0c;里面预装了conda、Python、众多packages、科学计算工具等。Anaconda的目的是方便使用Python进行数据科学研究&#xff0c;它涵盖了数据科学领域常见的Python库&#xff0c;并且自带了专门用…

Python的循环结构练习

归纳编程学习的感悟&#xff0c; 记录奋斗路上的点滴&#xff0c; 希望能帮到一样刻苦的你&#xff01; 如有不足欢迎指正&#xff01; 共同学习交流&#xff01; &#x1f30e;欢迎各位→点赞 &#x1f44d; 收藏⭐ 留言​&#x1f4dd; 生命对某些人来说是美丽的&#xff0c…

我国每年研究生的毕业数量统计分享

本数据集详细记录了自1949年至2021年我国每年研究生的毕业数量&#xff08;包括硕士和博士学位的毕业生&#xff09;。在2021年&#xff0c;我国的研究生毕业生人数达到了772,761人&#xff0c;此数字比上一年度增加了44,000人。 统计的数据单位使用的是人数。 数据展示&…

mysql,for循环执行sql

遇到一个问题&#xff0c;我需要模拟上百万数据来优化sql&#xff0c;线上数据down不下来&#xff0c;测试库又没有&#xff0c;写代码执行要么慢要么就是sql语句太长。 于是&#xff0c;直接用mysql自带的功能去实现&#xff01; 简单而简单 mysql可以for循环&#xff1f;没…

Laravel框架: Call to a member function connect() on null 异常报错处理

Laravel框架&#xff1a; Call to a member function connect() on null 异常报错处理 Date: 2024.03.01 21:03:11 author: lijianzhan 原文链接: https://learnku.com/laravel/t/63721 问题&#xff1a; local.ERROR: Call to a member function connect() on null {"…

【前端素材】推荐优质后台管理系统 Greeva平台模板(附源码)

一、需求分析 1、系统定义 后台管理系统是一种用于管理网站、应用程序或系统的管理界面&#xff0c;通常由管理员和工作人员使用。它提供了访问和控制网站或应用程序后台功能的工具和界面&#xff0c;使其能够管理用户、内容、数据和其他各种功能。 2、功能需求 后台管理系…

使用mininet快速入门ONOS路由交换技术与原理-路由篇

上篇文章 《使用mininet快速入门ONOS路由交换技术与原理-交换篇》 使用mininet搭建了一个简单的网络拓扑&#xff0c;并实现了同一交换机下同网段多主机的通信&#xff0c;其中涉及到的通信知识主要以二层mac地址通信为主。 但在芸芸网络的世界中&#xff0c;主机间的通信除了…

【C++】数组、函数、指针

文章目录 1.数组1.1一维数组1.2二维数组 2.函数3.指针&#xff1a;可以通过指针间接访问内存(指针记录地址&#xff09;3.1 指针的定义和使用3.2 指针所占用空间3.3 空指针和野指针3.4 const修饰指针3.5指针和数组3.6指针和函数3.7练习&#xff08;指针、数组、函数&#xff09…

综合练习(二)

目录 列出薪金比 SMITH 或 ALLEN 多的所有员工的编号、姓名、部门名称、领导姓名、部门人数&#xff0c;以及所在部门的平均工资、最高和最低工资 补充 spool Oracle从入门到总裁:https://blog.csdn.net/weixin_67859959/article/details/135209645 列出薪金比 SMITH 或 AL…

STM32USART串口数据包

文章目录 前言一、介绍部分数据包两种包装方式&#xff08;分割数据&#xff09;HEX数据包文本数据包 数据包的收发流程数据包的发送数据包的接收固定包长的hex数据包接收可变包长的文本数据包接收 二、实例部分固定包长的hex数据包接收连接线路代码实现 可变包长的文本数据包接…

【InternLM 实战营笔记】基于 InternLM 和 LangChain 搭建你的知识库

准备环境 bash /root/share/install_conda_env_internlm_base.sh InternLM升级PIP # 升级pip python -m pip install --upgrade pippip install modelscope1.9.5 pip install transformers4.35.2 pip install streamlit1.24.0 pip install sentencepiece0.1.99 pip install a…

MySQL 多表查询 连接查询 外连接

介绍 MySQL 多表查询 连接查询 内连接 外连接分为两种&#xff0c;左外和右外连接&#xff0c; 左外&#xff1a;相当于查询表1(左表)的所有数据 包含 表1和表2交集部分的数据,完全包含左表的数据 右外&#xff1a;相当于查询表2(右表)的所有数据 包含 表1和表2交集部分的数据…

比特币暴涨逼近历史最高点;阿里云全线降价20%丨 RTE 开发者日报 Vol.155

开发者朋友们大家好&#xff1a; 这里是 「RTE 开发者日报」 &#xff0c;每天和大家一起看新闻、聊八卦。我们的社区编辑团队会整理分享 RTE &#xff08;Real Time Engagement&#xff09; 领域内「有话题的 新闻 」、「有态度的 观点 」、「有意思的 数据 」、「有思考的 文…

C++的晨曦之旅:开启编程的新篇章

个人主页&#xff1a;日刷百题 系列专栏&#xff1a;〖C/C小游戏〗〖Linux〗〖数据结构〗 〖C语言〗 &#x1f30e;欢迎各位→点赞&#x1f44d;收藏⭐️留言&#x1f4dd; ​ ​ 一、 命名空间 在 C/C 中&#xff0c;变量、函数和后面要学到的类都是大量存在的&#xff0…

div在vue的组件之中如何设置这个字体的颜色和样式大小

在Vue组件中设置<div>的字体颜色和样式大小可以通过两种主要方式实现&#xff1a;通过内联样式&#xff08;inline styles&#xff09;或者通过CSS类&#xff08;CSS classes&#xff09;。 使用内联样式 在Vue模板中直接在元素上使用style属性来设置样式。这种方法适用…

Android Shadow插件化框架分析与集成(一)

一、shadow源码导入及分析 1、下载项目源码 2、导入到Android studio 3、设置jdk及sdk版本 包/应用描述类型sample-constant公共字符串常量libsample-host宿主应用applicationsample-host-lib宿主应用依赖包libsample-manager是插件管理器的动态实现,主要负责加载插件和安装…

【Android开发】01-第一个Android APP

一、改MainActivity class MainActivity : AppCompatActivity() {/*因Android的app有生命周期&#xff0c;故入口是OnCreate而不是main函数*/override fun onCreate(savedInstanceState: Bundle?) {super.onCreate(savedInstanceState)setContentView(R.layout.activity_main…

071:vue+cesium 实现下雨效果

第071个 点击查看专栏目录 本示例的目的是介绍如何在vue+cesium中实现下雨效果,这里使用着色器来实现实例特效。 直接复制下面的 vue+cesium源代码,操作2分钟即可运行实现效果. 文章目录 示例效果配置方式示例源代码(共120行)着色代码实现心得:专栏目标示例效果

【笔记】深度学习入门:基于Python的理论与实现(六)

深度学习 深度学习是加深了层的深度神经网络 加深网络 本节我们将这些已经学过的技术汇总起来&#xff0c;创建一个深度网络&#xff0c;挑战 MNIST 数据集的手写数字识别 向更深的网络出发 基于33的小型滤波器的卷积层。激活函数是ReLU。全连接层的后面使用Dropout层。基…