域基础

Ca1m

2024-10-03

内网攻防

域

域知识

工作组：

将不同的计算机按照功能分别列入不同的工作组。想要访问某个部门的资源，只要在“网络”里面双击该部门的工作组名。工作组就像一个可以自由进入和退出的社团，方便同组的计算机相互访问，工作组没有集中管理作用，工作组里的计算机都是相互对等的（即没有服务器和客户机之分）。对局域网中的计算机进行分类，使得网络更有序。计算机的管理依然是各自为政，所有计算机依然是对等的，松散会员制，可以随意加入和退出，且不同工作组之间的共享资源可以相互访问。

内网域：

分类：单域、子域、父域、域树、域森林、DNS域名服务器

“域”是一个有安全边界的计算机组合（一个域中的用户无法访问另一个域中的资源），域内资源由一台域控制器（Domain Controller，DC）集中管理，用户名和密码是放在域控制器去验证的。

优点：通过组策略来统一管理。

单域

单域：即只有一个域的网络环境，一般需要两台DC，一台DC，另一台备用DC（容灾）

dns可能就是域控

父子域

父子域：类比公司总部和公司分部的关系，总部的域称为父域，各分部的域称为该域的子域。使用父子域的好处：

• 减小了域之间信息交互的压力（域内信息交互不会压缩，域间信息交互可压缩）

• 不同的子域可以指定特定的安全策略

父子域中域名使用一个.表示一个层次，类似于DNS域名表示方式，子域只能使用父域的名字作为域名后缀

域树

域树：多个域通过建立信任关系组成的集合。若两个域之间需要相互访问，需要建立信任关系（Trust Relation），通过信任关系可以将父子域连接成树状结构

域森林

域森林：多个域树通过建立信任关系组成的集合。

域名服务器：实现域名到IP地址的转换。由于域中计算机使用DNS来定位DC、服务器和其他计算机的，所以域的名字就是DNS域的名字。

内网渗透中，大都是通过寻找DNS服务器来确定域控制器位置（因为DNS服务器和域控制器通常配置在一台机器上）

域内权限：

• 域本地组：

• 多域用户访问单域资源

• （访问同一个域），主要用于授予本域内资源的访问权限，可以从任何域中添加用户账号、通用组和全局组。域本地组无法嵌套在其他组中

• 全局组：

• 单域用户访问多域资源

• （必须是同一个域中的用户），只能在创建该全局组的域中添加用户和全局组，但可以在域森林中的任何域内指派权限，也可以嵌套在其他组中

• 通用组：多域用户访问多域资源，成员信息不保存在域控制器中，而是保存在全局编录（GC）中，任何变化都会导致全林复制

域本地组：来自全林作用于本域

全局组：来自本域作用于全林

通用组：来自全林作用于全林

本地域组的权限

Administrators（管理员组） ————最重要的权限

Remote Desktop Users（远程登录组）

Print Operators（打印机操作员组）

Account Operators（帐号操作员组）

Server Operaters（服务器操作员组）

Backup Operators（备份操作员组）

全局组、通用组的权限

Domain Admins（域管理员组）————最最最重要的权限，一般来说域渗透是看重这个

Enterprise Admins（企业系统管理员组）————最重要的权限，其次是去看重这个权限

Schema Admins（架构管理员组）————最重要的权限

Domain Users（域用户组)

通常DNS服务器与域控制器会在同一台机器上

一个域内至少需要两台DC，需要一台用作备份

A-G-DL-P策略：

A：用户账户

G：全局组

DL：域本地组

P：许可，资源权限

先将用户账号添加至全局组中，再将全局组添加至域本地组，为域本地组分配资源权限。

1、域环境应用

• 账号集中管理

• 软件集中管理

• 环境集中管理

• 增强统一安全性

2、域环境架构

域控制器

成员服务器

客户机

独立服务器

见图：（单域，父域，子域，域树，域森林）

单域是指网络环境中只有一个域，建立一个单独的域足以。

父子域在一个域中划分出多个域，被划分的域为父域，划分出来的域为子域。

域树中的命名空间具有连续性，并且域名层次越深，级别越低。

域林是指一个或多个没有形成连续名字空间的域树组成的域树集合。

3、域环境搭建

准备工作：

关闭防火墙并改计算机名

计算机网络配置静态IP和DNS

安装工作：

DC安装域控和DNS服务

提升到DC域控配置域名

加入工作：

DC上添加域内用户

修改主机名称及加入域

4、域环境差异

加入主机存在域内和域外：

用户切换

加入主机域内用户被控制

域内权限：

域本地组：来自全林作用于本域

全局组：来自本域作用于全林

通用组：来自全林作用于全林

本地域组的权限

Administrators（管理员组） ————最重要的权限

Remote Desktop Users（远程登录组）

Print Operators（打印机操作员组）

Account Operators（帐号操作员组）

Server Operaters（服务器操作员组）

Backup Operators（备份操作员组）

全局组、通用组的权限

Domain Admins（域管理员组）————最最最重要的权限，一般来说域渗透是看重这个

Enterprise Admins（企业系统管理员组）————最重要的权限，其次是去看重这个权限

Schema Admins（架构管理员组）————最重要的权限

Domain Users（域用户组)

A-G-DL-P策略：

A 代表用户账号（Account）。

G 代表全局组（Global Group）。

DL 代表域本地组（Domain Local Group）。

P 代表资源访问权限（Permission）。

A-G-DL-P策略是一种将用户账号添加到全局组中，然后将全局组添加到域本地组中，并为域本地组分配资源访问权限的策略。这种策略使得来自不同域的用户能够通过全局组和域本地组的组织方式，访问本地域中的资源。

5、域环境安全

信息收集：了解当前网络架构和权限分布

权限提升：将当前控制权限提升解决限制

代理隧道：解决内网域中出网和通讯限制

横向移动：利用漏洞和口令等扩大后续战果

权限维持：植入后门或票据等进行后续控制

演示：单域

1、如何判断在域内

如果在域外，需要做域内渗透测试，需要满足两个条件（2选1）：

1、取得主机系统权限（administrator/system）

可以使用mimikatz等工具读取密码，再切换到域内账户

2、取得主机域内权限

因为加入域后，受dc控制

软件策略网络策略更改策略

看域外

whoami

看域内（没有域内权限时会被拒绝）

net user /domain

2、如何定位域控DC

net time /domain

net group”domain controllers” /domain

nltest /dsgetdc:域名

nltest /dclist:域名

或者运行cs等工具一些插件

3、如何获取其他信息

其他信息：用户及组，网络架构等

手工工具：常见命令，工具插件等

父子域

1、如何判断在单域内

net time /domain看指向谁

2、如何判断在父子域内

子域能看父域，不能管理

net view /domain 能看但不一定能执行成功，服务器如果没开这个服务就不能执行

需要启动Computer Browser服务，但是这个命令会展现当前所有的父子域，如何判断具体在那个域中呢？

whoami看账户前面的域名称

3、如何定位当前域控DC

同上

域内要注意dns解析的问题

4、如何获取当前其他信息

域渗透基础命令

https://mp.weixin.qq.com/s/128Ap8ohEBDweg0jNM-T5g

域森林

域与域配置信任关系

演示：

1、如何判断在单域内

net view 一个

2、如何判断在父子域内

net view 多个

其他命令运行提示多个子域

3、如何判断在域树林内

net view 多个

其他命令运行提示多个子域

4、如何判断在域森林内

net view 无规则

用户与本机用户不一致

域内用户名不在当前域在另外的域里面典型的域森林

5、域树和域林对比前面

5、如何定位当前域控DC

6、如何获取当前其他信息

其他信息：用户及组，网络架构等

手工工具：常见命令，工具插件等