内网信息搜集

内网基础知识

基本流程图

怎么判断是否在域内

常规信息类收集-应用&服务&权限等

cs信息搜集

bloodhound安装及使用

内网基础知识

工作组：将不同的计算机按照功能分别列入不同的组，想要访问某个部门的资源，只要在【网络】里双击该部门的工作组名
域Domain：一个公司有10台计算机，我们希望某台计算机的账户ailx10可以访问每台计算机的资源，那么，在工作组环境中，我们必须在这10台计算机各自的SAM数据库中创建ailx10这个账户。

一般局域网<工作组<内网域

域是一个有安全边界的计算机集合，与工作组相比，域的安全管理机制更加严格，用户想要访问域内的资源，必须以合法的身份登录域，而用户对域内的资源拥有什么样的权限，取决于用户在域内的身份。

域控制器DC，是域中的一台类似管理服务器的计算机，负责所有接入的计算机和用户的验证工作，也就是说域内所有用户的密码Hash都保存在域控制器中。

活动目录AD，是指域环境中提供目录服务的组件。目录用于存储有关网络对象的信息，例如：用户、组、计算机、共享资源、打印机、联系人等。

目录服务：帮助用户快速的从目录中找到其所需要的信息的服务

活动目录实现了目录服务，为企业提供了网络环境的集中式管理机制，活动目录的主要功能：

账号集中管理：所有账号都存储在服务器中
软件集中管理：统一推送软件、安装软件
环境集中管理：统一客户端桌面、IE设置
增强安全性：统一部署杀毒软件和病毒扫描任务、统一制定用户密码策略

基本流程图

1844674407340160555818446744072956488586(1)

怎么判断是否在域内

cmd输入，看回显

net view /domain
或者
net time /domain
net user /domain

这是有域的

这是没有，告诉你找不到域

常规信息类收集-应用&服务&权限等

systeminfo 详细信息
netstat -ano 端口列表
route print 路由表
net start 启动服务
tasklist 进程列表
schtasks 计划任务
ipconfig /all 判断存在域
net view /domain 判断存在域
net time /domain 判断主域
netstat -ano 当前网络端口开放
nslookup 域名 追踪来源地址
wmic service list brief 查询本机服务
net config workstation 查询当前登录域及登录用户信息
wmic startup get command,caption 查看已启动的程序信息
#架构信息类收集-网络&用户&域控等
net view /domain 查询域列表
net time/domain 从域控查询时间，若当前用户是域用户会从域控返回当前时间，亦
用来判 断主域，主域一般用做时间服务器
net localgroup administrators 本机管理员【通常含有域用户】
net user /domain 查询域用户(当前域)
net group /domain 查询域工作组
net group "domain computers" /domain 查看加入域的所有计算机名
net group "domain admins" /domain 查询域管理员用户组和域管用户
net localgroup administrators /domain 查看域管理员
net group "domain controllers" /domain 查看域控
net accounts /domain 查看域密码策略

获取域控ip

先net time /domain

会先域控请求，同时获得域控的计算机名

再ping域控就会解析它的ip

查询域管理员用户组和域管用户

net group "domain admins" /domain

cs信息搜集

使用cs生成可执行exe文件

拖至win7虚拟机运行，当然一定会被杀（exe文件免杀后期会说）先关了杀毒软件，包括windous自带的安全中心

运行之后，cs上线

重新设置会话延迟

设置成1或者0

发现last变成毫秒了

可以搜索基本信息了

图示里可以看见你的获取信息

目标列表可以看见你攻击靶机

在这可以看到截图信息

接下来查看hash值和抓取明文密码

直接上，会回显要求管理员权限，接下来提权，win7，我们使用ms14-058这个漏洞提权

可以装上这些插件

也可以只在网上装上cs的提权漏洞

提权之后会发现多了一台system的主机，对其进行抓取hash何抓取明文密码

hash值

明文密码，到密码凭证下查看，有的是哈希值，有的是未加密密码

然后找到其他服务器，横向移动

选择已有的密码，选择监听

如果成功就会上线一台新的靶机，这个要看运气

bloodhound安装及使用

首先下载俩个软件

一个是本地运行的软件，我下载的是win32-x64版本

Releases · BloodHoundAD/BloodHound · GitHub

在本地安装 BloodHound 完成后，需要进行数据的采集与导入，数据的采集可以使用 ps1 脚本或者使用 exe 程序收集，需要使用对应版本的数据采集工具。

下载地址： https://github.com/BloodHoundAD/BloodHound/tree/f4d9c1af1529124d33c9f360a27686eea51755e1/Collectors

如图

接下来就是上传文件，先文件浏览，然后上传下载的exe文件或者脚本

不同文件的命令也不同

# 二进制采集工具命令：
SharpHound.exe -c all
# powershell采集工具命令：
powershell -exec bypass -command "Import-Module ./SharpHound.ps1; Invoke-BloodHound -c all"

运行完成后会生成一个以时间命名的zip文件

接着下载neo4j

Neo4j Deployment Center - Graph Database & Analytics

我下载的是社区版

接着cmd在bin目录运行解压的下载的zip文件

neo4j.bat console

浏览器访问http://127.0.0.1:7474/browser/

账号密码都是 neo4j

Host : http://localhost:7474
Username : neo4j
Password : neo4j

修改密码123456或者其他

打开本地下载运行的bloodhound.exe文件登录上面修改的账号密码

然后将靶机上获取的zip文件上传到这个程序上

这里可以看见有多少个主机，有多少个组等基本信息

analysis可以帮我们找到，一些信息，一般都是英文，可以翻译

查询所有域管理员
寻找到域管理员的最短路径
查找具有DCSync权限的主体
具有外部域组成员资格的用户
具有外部域名组成员资格的组
映射域信任
到无约束委托系统的最短路径
到达Kerberoastable用户的最短路径
从Kerberoastable用户到域管理员的最短路径
拥有的主体的最短路径
从拥有的主体到域管理员的最短路径
到高价值目标的最短路径
查找域用户是本地管理员的计算机
查找域用户可以读取密码的计算机
从域用户到高价值目标的最短路径
找到从域用户到高价值目标的所有路径
找到域用户可以RDP的工作站
找到域用户可以RDP的服务器
查找域用户组的危险权限
找到高价值群体中能够支持kerberoable的成员
列出所有kerberoable用户
查找具有大多数特权的Kerberoastable用户
查找到非域控制器的域管理登录
查找不支持操作系统的计算机
查找AS-REP Roastable用户(DontReqPreAuth)

点击任图中任意用户，可以查看该用户Name、DisPlayName、最后修改密码时间、最后登陆时间、该用户登陆在那台计算机存在Session，是否启动、属于那些组、拥有那些机器的本地管理员权限、对访问对象对控制权限等，BloodHound可以将这些以图表对形式展示出来，方便Pentester更快对进行横向渗透，提升权限