域內滲透基本技巧

0x00 什麼是域

---

有人說域是一種組織結構，是個安全邊界。域也有另為一個名字，“活動目錄”。不管域是什麼，它總有一些特點，有了它，對管理一個機構的組織單元，人員，特別是計算機就方便了許多，特別是計算機，因為域就是建立在計算機上的。加入域裡的計算機，共享檔案，共享上網就會很方便。

域裡有個比較重要的角色，域控制器(DC)。它有至高無上的許可權，它可以在域裡對其他計算機(DA)胡作非為。域控制器裡還有域內所有使用者的帳號密碼(曾在一個機房的機架上看到一張字條，上面寫著"帳號密碼是駭客攻擊的首要目標"，當時偶就笑抽了，機架的鎖上還寫著"這裡鎖住的是企業的秘密")。

綜上所訴，域就是我們在進行滲透測試時，會碰到的一種網路環境。對域比較直觀的展示時，在登入3389時，在域裡的機器會多一個下拉框，見圖。

如果“登入到”這個下拉框沒有顯示，請點選“選項（0）”按鈕顯示。仔細看，這個下拉框有兩個選項，一個是此計算機，本地登入。一個是TESTONE域。再看下圖

這個3389登入介面裡的“登入到”下拉框只有一個選項TESTONE。沒有此計算機的選項。沒錯，這臺機器就是DC，變身成DC的機器本地帳戶會被禁用，所以不能登入本機，只能登入到域中（一些書上是這樣說的，偶學藝不精，沒有準確驗證過）。所以DC是偉大的。

0x01 尋找域控制

---

假設我們現在已經在一個域裡，當然不是正常的存在。因為我們正在做滲透測試呢，而不是坐在公司裡上班打dota。

一般情況下會有兩種情況，第一：我們能登入一臺域裡伺服器的3389。第二：我們用遠端控制軟體控制了一臺域裡的個人機器。只要有其中一種，你一定想，並很快擁有另一種。

好，情況已經這樣美好了，我們下一步該做點什麼了，有人說趕緊把毛片和種子下回來，作為一個脫離低階趣味的人來說，我絕對我大聲的對他說，俺硬碟裡還有云儲存裡的資源比他多的多，極品的多，還費的著下他的，切！

第一步我覺得不是導hash，而是再給對方種一個或者兩個不同的遠控，留條後路，然後導hash，檢視各種資訊。導hash的工具gsecdump,wce等，網上都可以下到。

關於導hash，分為導處本地儲存的hash和正在登入狀態使用者的hash，正在登入使用者的hash就有可能導到域管理員的，假設你在一臺域裡的伺服器上轉悠，這時，剛好管理員用域控管理帳戶來視察這臺伺服器，那麼記憶體裡就有了他的hash，這時裡執行一下工具，hash到手，不要說你破解不出來，沒關係，還有那個法國神器，直接給它顯示明文吧,沒有明文也沒關係，還可以hash注入！

關於檢視些有用的資訊，下面引用網上廣為流傳的命令。

net view
               檢視同一域/工作組的計算機列表
net view /domain
       檢視域/工作組列表
net view /domain:Secwing
    檢視Secwing域中 計算機列表
net group /domain
      檢視所在域的組
net user /domain
       檢視所在域使用者
net user /domain zerosoul 12345678
     修改域使用者密碼，需要域管理員許可權，或者Ctrl+Alt+Del點選修改則不需要域管理員許可權
net localgroup administrators SECWINGzerosoul /add
        域Users組使用者新增到本地Administrators組，需要本地管理員或域管理員在本機登陸域後進行

下面的命令 只能用於 域控制器:

net group "Domain controllers"
     檢視域控制器(如果有多臺)
net group
                      檢視域的組
net group "domain admins"
      檢視域管理員
net group "domain users"
       檢視域管理員

PS:開啟配置域控制器嚮導的命令


dcpromo

psexec /accepteula 繞過第一次驗證視窗
mstsc /admin 遠端桌面登入到console會話解決hash無法抓出問題

我們檢視資訊的目的是找出域控制器，網上一般提出過很多方法參考地址

http://hi.baidu.com/cao2109/item/6f7115687616e5166895e682

不過偶覺得微軟提供的方法更好用(一個朋友教的，在此感謝)。官方解說:

http://msdn.microsoft.com/zh-cn/cc755655%28zh-cn,WS.10%29.aspx

對，就是用dsquery。在2003自帶，system32目錄裡。要在xp執行，把dsquery.exe和dsquery.dll複製出來放在同目錄就可以用了。dsquery不僅可以找域控制器，在一臺普通域裡的機器上就可以執行，列出域裡的基本資訊，包括組織單元，計算機，使用者，子網，聯絡人（說實話，偶不懂這個耶）等。

找到域控後，很多時候不止一臺域控。現在不管你用什麼方法，exp啊，0day啊，hash注入呀，弱口令呀，社工呀，Arp呀，蒼井空啊。弄到域控的許可權，有了域管理員的帳號和密碼，那麼在域裡YY就不愁了。

0x02 自由飛翔

---

假設現在我們拿到了域控管理員的帳號和密碼，我們可以登入域內一臺伺服器，當然域控也沒問題。不過管理會經常登域控，這樣偷情肯定很容易被發現，所以最好找一臺沒有什麼作用，被遺棄的伺服器上去操作。

有了帳號密碼，IPC連結。內網為了共享啥的方便，server服務都不會關閉，要是我自己電腦server和workstation是肯定要關的。假設我們的域管理員名字是CK，密碼是123456，域的名字叫ALIYUN。我要到域裡ip為192.168.4.6的機器上執行命令。我就去會敲出。

net use 192.168.4.6c$ 123456 /user:ALIYUNCK

要是這個IP其實不在域裡，那麼把ALIYUN的地方改成192.168.4.6，使用者名稱改成administrator，然後再試試，可能有驚喜哦。

要是命令執行成功，執行net use可以看到已經建立的對映。

然後用psexec來執行命令，第一次執行請記得跳過驗證

psexec /accepteula 繞過第一次驗證視窗

不然坐在電腦面前的那個她會嚇死的（你要在遠控裡的話）。

建立對映後，在互動式的cmdshell裡，比如3389上去開啟的cmdshell執行

Psexec -s 192.168.4.6 cmd.exe

就可以得到一個192.168.4.6機器上的一個cmd.exe.前提是已經net use對映成功了，接下來要幹什麼，就看你的了。

這是在互動式的cmdshell裡，要是在遠控裡自帶的cmdshell呢？一般遠控裡的cmdshell會用到管道來實現的，而psexec在回顯的時候或許也用了管道，這樣在執行下面的語句是可能會出現問題。

Psexec -s 192.168.4.6 cmd.exe /c ipconfig

回顯會出現時有時無的情況，彈一個互動式的cmdshell就不用想了，除非遠控實現的是一個完全互動式的cmdshell，這個東西有嗎？答案是有的。見下面連結:

http://forum.eviloctal.com/thread-40208-1-1.html

不過有方法可以彌補這個缺陷，net use成功後，在遠控裡是可以訪問對方的檔案系統的,192.168.4.6C$,這樣就可以寫檔案進去,比如寫到C盤，寫批處理，在裡面寫想執行的命令並把回顯結果重定向到檔案，一次寫入多條效率比較高，還可以重複使用，就像這樣：

Ipconfig /all >> C:pp.txt

然後再執行

psexec -s 192.168.4.6 cmd.exe /c C:a.bat

這樣在遠控裡把回顯的txt下回來就算行了，還便於儲存，是不是很麻煩呀！

監視管理員：

雖然拿到域管理員的密碼可以在域裡玩，當跟域裡有聯絡而且重要的機器可能並不在域裡，比如幫助域裡機器上網的代理伺服器，郵件閘道器等。 要想在這些機器上玩，就只有監視管理員了，找到管理員的機器，給他種個馬，種個keyloger(鍵盤記錄)，或者專門的3389登入記錄器也可以。當然運氣好，可能在他電腦找到一個password.txt就發達了。管理員的瀏覽器也是藏密碼的地方，他應該會經常登入一些需要密碼驗證的地方，然後他可能會儲存密碼，那麼我們就要匯出他的密碼，那樣會收穫不小哦。

0x03 問題與提高

---

如果你只有遠控，對方網路在內網。你無法直接登入伺服器上的3389,那就只有埠轉發了。 如果對方內網不能直接上網，只能透過一個代理伺服器上網，比如ISA，squid撒的，再加上一個會隨時斷你線的防火牆，那麼麻煩就大了。就算一些木馬能出來，一般的埠轉發也出不來啊～。

這種情況我想到兩種出路：

一 找到內網裡可以直接出來的機器，比如管理員為了方便下片什麼的開放的。其實可以直接找管理員。（還有一個思路，看對方內網裡發郵件到外面的郵件頭，一般都是郵件中繼資訊，一步一步跟就從內網到外網了，要是有基於郵件協議的木馬就爽YY了，中了以後直接劫持郵件客服端，隱蔽的發郵件，控制資訊由郵件出去）

二 寫程式，搞定代理，刺穿防火牆。