内网安全攻防：渗透测试实战指南之内网信息搜集

《内网安全攻防：渗透测试实战指南》第2章：内网信息搜集

内网渗透测试的核心是信息搜集。本章主要介绍了当前主机信息搜集、域内存活主机探测、域内端口扫描、域内用户和管理员权限的获取、如何获取域内网段划分信息和拓扑架构分析等，并介绍了域分析工具BloodHound的使用。

搜集本机信息

网络配置信息、操作系统及软件的信息、本机服务信息、进程列表、启动程序信息、计划任务、主机开机时间、用户列表、连接会话、端口列表、补丁列表、本机共享列表、路由表和Arp缓存表、防火墙相关配置、代理配置情况、远程连接服务等。

**WMIC（Windows Management Instrumentation Command-Line，Windows管理工具命令行）**是最有用的Windows命令行工具。Windows7以上版本的低权限用户才允许访问WMIC并执行相关查询操作。使用WMIC，不仅可以管理本地计算机，还可以管理同一域内的所有计算机（需要一定权限），而且在被管理的计算机上不可事先安装WMIC。

WMIC在信息搜集he后渗透测试阶段是非常实用的，可以调取和查看目标机器的进程、服务、用户、用户组、网络连接、硬盘信息、网络共享信息、已安装的补丁、启动项、已安装的软件、操作系统的相关信息、时区等。使用wimic /?查看alias。

设置计划任务at在Win8已经弃用，取而代之的是schtasks。

安全狗禁止net，360也会弹窗，可以尝试net1，或者使用wmic，如net user -> wmic useraccount。

查询当前权限

有三种情况：本地普通用户、本地管理员用户、域内用户。

如果当前内网中存在域，那么本地普通用户只能查询本机相关信息，不能查询域内信息；而本地管理员用户和域内用户可以查询域内信息。

域内的所有查询都是通过域控制器实现的（基于LDAP协议），而这个查询需要经过权限认证，所以，只有域用户才拥有这个权限；当域用户执行查询命令时，会自动使用Kerberos协议进行认证，无需额外输入账号和密码。

本地管理员Administrator权限可以直接提升为System权限（使用PsExec等），因此，在域中，除普通用户外，所有的机器都有一个机器用户（用户名为机器名加上$）。在本质上，**机器的system用户对应的就是域里面的机器用户。**所以，使用System权限也可以运行域内的查询命令。

判断是否存在域

域控制器和DNS服务器是否在同一台服务器上？（使用nslookup反向解析）

systeminfo中的域即域名、登陆服务器指的是域控制器。

使用net time /domain可以判断当前用户是否是域用户（错误5），是否存在域。

探测域内存活主机

NetBIOS是局域网程序使用的一种API，为程序提供了请求低级别服务的统一的命令集。NetBIOS也是计算机的标识名，主要用于局域网中计算机的互访。

e.g. ARP（nbtscan、arp-scan）、ICMP（ping）、TCP/UDP（portscan、scanline）

扫描域内端口

端口的Banner信息，使用nc、telnet可以快速获取。

收集域内基础信息

域内查询命令在本质上都是通过LDAP协议到域控制器上进行查询的。

查询域、域内所有计算机、域内所有用户组列表（Domain Admins、Domain Controllers、Domain Users）、获取域密码信息、获取域信任信息。

在默认情况下，Domain Admins 和 Enterprise Admins 对域内所有域控制器有完全控制权限。

查找域控制器

获取域内的用户和管理员信息

查询所有域用户列表，查询域管理员用户。

域内Domain Admins组中的用户默认为域内机器的本地管理员用户。

定位域管理员

在内网中，通常会部署大量的网络安全系统和设备，例如IDS、IPS、日志审计、安全网关、反病毒软件等。

**在一个域中，当计算机加入域后，会默认给域管理员组赋予本地系统管理员权限。**也就是说，当计算机被添加到域中，成为域的成员主机后，系统会自动将域管理员组添加到本地系统管理员组中。因此，域管理员组的成员均可访问本地计算机，且具备完全控制权限。

在Windows域中取得了普通用户权限，希望在域内横向移动，需要知道域内用户登录的位置、他是否是任何系统的本地管理员、他所属的组、他是否有权访问文件共享等。

e.g. psloggedon.exe、PVEFindADUser.exe、netsess.exe、hunter、NetView、PowerView等

查找域管理进程

在获取了管理员权限的系统中寻找域管理员登录进程，进而搜集域管理员的凭据。

渗透测试人员在某个内网环境中获得了一个域普通用户的权限，首先通过各种方法获得当前服务器的本地管理员权限，然后分析当前服务器的用户登录列表及会话信息，知道哪些用户登陆了这台服务器。如果渗透测试人员通过分析发现，可以获取权限的登录用户都不是域管理员账户，同时没有域管理员组的用户登录这台服务器，就可以使用另一个账号并寻找该账号在内网的哪台机器上具有管理权限，再枚举这台机器上的登录用户，然后继续进行渗透测试，直至找到一个可以获取域管理员权限的有效路径为止。

域管理员模拟

第4章介绍

内网划分及拓扑结构

分析目标服务器所使用的的Web服务器、后端脚本、数据库、系统平台等。

常见Web架构：

ASP + Access + IIS 5.0/6.0 + Windows Server 2003
ASPX + MSSQL + IIS 7.0/7.5 + Windows Server 2008
PHP + MySQL + IIS、Apache、Nginx
JSP + MSSQL、ORACLE + Tomcat

内网通常分为DMZ、办公区和核心区（生产区）。