內(nèi)網(wǎng)：基礎(chǔ)知識

• • • 一、內(nèi)網(wǎng)
    • 二、工作組
    • 三、域(Domain)
    • • 1、域的分類
      • 2、域中的計(jì)算機(jī)分類
      • 3、域中權(quán)限的分類
    • 四、活動目錄
    • • 1、邏輯結(jié)構(gòu)
      • 2、活動目錄的主要功能
      • 3、AD和DC的區(qū)別
    • 五、DMZ
    • • DMZ的屏障功能
    • 六、相關(guān)名詞解釋
    • 七、內(nèi)網(wǎng)滲透常用端口
    • 八、常用工具和方式

一、內(nèi)網(wǎng)

內(nèi)網(wǎng)也指 局域網(wǎng)（ Local Area Network ， LAN ） 是指在某一區(qū)域內(nèi)由多臺計(jì)算機(jī)互聯(lián)成的計(jì)算機(jī)組。一般是方圓幾千米以內(nèi)。局域網(wǎng)可以實(shí)現(xiàn)文件管理、應(yīng)用軟件共享、打印機(jī)共享、工作組內(nèi)的歷程安排、電子郵件和傳真通信服務(wù)等功能。
? 內(nèi)網(wǎng)是封閉型的，它可以由辦公室內(nèi)的兩臺計(jì)算機(jī)組成，也可以由一個公司內(nèi)的上千臺計(jì)算機(jī)組成。列如銀行、學(xué)校、企業(yè)工廠、政府機(jī)關(guān)、網(wǎng)吧、單位辦公網(wǎng)等都屬于此類。

二、工作組

將不同計(jì)算機(jī)按功能分別列入不同的組內(nèi)

工作組（ Work Group ）， 在一個大的單位內(nèi)，可能有成百上千臺電腦互相連接組成局域網(wǎng)，它們都會列在“網(wǎng)絡(luò)（網(wǎng)上鄰居）”內(nèi)，如果這些電腦不分組，可想而知有多么混亂，要找一臺電腦很困難。為了解決這一問題，就有了“工作組”這個概念，將不同的電腦一般按功能（或部門）分別列入不同的工作組中，如技術(shù)部的電腦都列入“技術(shù)部”工作組中，行政部的電腦都列入“行政部”工作組中。你要訪問某個部門的資源，就在“網(wǎng)絡(luò)”里找到那個部門的工作組名，雙擊就可以看到那個部門的所有電腦了。相比不分組的情況就有序的多了，尤其是對于大型局域網(wǎng)絡(luò)來說。

三、域(Domain)

域 (Domain)是一個有安全邊界的計(jì)算機(jī)集合（ 安全邊界 意思是在兩個域中，一個域中的用戶無法訪問另一個域中的資源），可以簡單的把域理解成升級版的“工作組”，相比工作組而言,它有一個更加嚴(yán)格的安全管理控制機(jī)制,如果你想訪問域內(nèi)的資源,必須擁有一個合法的身份登陸到該域中,而你對該域內(nèi)的資源擁有什么樣的權(quán)限,還需要取決于你在該域中的用戶身份。

1、域的分類

• 單域
• 父域，子域
• 域樹（tree）
• 域森林（forest）
• DNS域名服務(wù)器

單域

小公司

在一般的具有固定地理位置的小公司里，建立一個域就可以滿足所需。一般在一個域內(nèi)要建立至少兩個域服務(wù)器，一個作為DC，一個是備份DC。如果沒有第二個備份DC，那么一旦DC癱瘓了，則域內(nèi)的其他用戶就不能登陸該域了，因?yàn)榛顒幽夸浀臄?shù)據(jù)庫（包括用戶的帳號信息）是存儲在DC中的。而有一臺備份域控制器（BDC），則至少該域還能正常使用，期間把癱瘓的DC恢復(fù)了就行了。

父域

多個辦公地點(diǎn)的公司

出于管理及其他一些需求，需要在網(wǎng)絡(luò)中劃分多個域，第一個域稱為父域 ，各分部的域稱為該域的 子域 。比如一個大公司，它的不同分公司在不同的地理位置，則需父域及子域這樣的結(jié)構(gòu)。如果把不同地理位置的分公司放在同一個域內(nèi)，那么他們之間信息交互（包括同步，復(fù)制等）所花費(fèi)的時間會比較長，而且占用的帶寬也比較大。（因?yàn)樵谕粋€域內(nèi)，信息交互的條目是很多的，而且不壓縮；而在域和域之間，信息交互的條目相對較少，而且壓縮。）還有一個好處，就是子公司可以通過自己的域來管理自己的資源。還有一種情況，就是出于安全策略的考慮，因?yàn)槊總€域都有自己獨(dú)有的安全策略。比如一個公司的財(cái)務(wù)部門希望能使用特定的安全策略（包括帳號密碼策略等），那么可以將財(cái)務(wù)部門做成一個子域來單獨(dú)管理。

域樹

建立信任關(guān)系的域集合，兩個域相互之間可以訪問

? 域樹 指若干個域通過建立信任關(guān)系組成的集合。一個域管理員只能管理本域的內(nèi)部，不能訪問或者管理其他的域，二個域之間相互訪問則需要建立 信任關(guān)系 (Trust Relation)。信任關(guān)系是連接在域與域之間的橋梁。域樹內(nèi)的父域與子域之間不但可以按需要相互進(jìn)行管理，還可以跨網(wǎng)分配文件和打印機(jī)等設(shè)備資源，使不同的域之間實(shí)現(xiàn)網(wǎng)絡(luò)資源的共享與管理，以及相互通信和數(shù)據(jù)傳
輸。在一個域樹中，父域可以包含很多子域，子域是相對父域來說的，指域名中的每一個段。子域只能使用父域作為域名的后綴，也就是說在一個域樹中，域的名字是連續(xù)的。

域森林
? 域森林 指若干個域樹通過建立信任關(guān)系組成的集合。可以通過域樹之間建立的信任關(guān)系來管理和使用整個森林中的資源，從而又保持了原有域自身原有的特性。

DNS域名服務(wù)器（Domain Name Server）

? DNS 域名服務(wù)器 是進(jìn)行域名(domain name)和與之相對應(yīng)的IP地址 (IPaddress)轉(zhuǎn)換的服務(wù)器。

? 在域樹的介紹中，可以看到域樹中的域的名字和DNS域的名字非常相似，實(shí)際上域的名字就是DNS域的名字，因?yàn)橛蛑械挠?jì)算機(jī)使用DNS來定位域控制器和服務(wù)器以及其他計(jì)算機(jī)、網(wǎng)絡(luò)服務(wù)等。

? 一般情況下,我們在內(nèi)網(wǎng)滲透時就通過尋找DNS服務(wù)器來定位域控制器，因?yàn)橥ǔNS服務(wù)器和域控制器會處在同一臺機(jī)器上

2、域中的計(jì)算機(jī)分類

? 域控制器（必須有，其他都可以沒有）

? 成員服務(wù)器

? 客戶機(jī)

? 獨(dú)立服務(wù)器

域控制器

（ Domain Controller ，簡寫為 DC ）用于存放活動目錄數(shù)據(jù)庫，域中必須有，是一個域中的一臺類似管理服務(wù)器的計(jì)算機(jī)，相當(dāng)于一個單位的門衛(wèi)一樣，它負(fù)責(zé)每一臺聯(lián)入的電腦和用戶的驗(yàn)證工作，域內(nèi)電腦如果想互相訪問首先都是經(jīng)過它的審核。

成員服務(wù)器

加入域，但沒有安裝活動目錄的計(jì)算機(jī)

文件服務(wù)器，應(yīng)用服務(wù)器，數(shù)據(jù)庫服務(wù)器，web服務(wù)器，郵件服務(wù)器，防火墻，遠(yuǎn)程訪問服務(wù)器，打印機(jī)服務(wù)器

客戶機(jī)

域中的計(jì)算機(jī)安裝其他OS的計(jì)算機(jī)，用戶利用這些計(jì)算機(jī)和域中的賬戶可以登陸域。

獨(dú)立服務(wù)器

和域沒有關(guān)系，不加入域，不安裝活動目錄。

3、域中權(quán)限的分類

管理員通過配置安全組訪問權(quán)限，為所有加入安全組的用戶賬號配置同樣的權(quán)限

1、本地域組：多域用戶訪問單域資源（訪問同一個域）
本地域組的成員可包括Windows Server2003、Windows 2000或WindowsNT域中的其他組和賬戶，而且只能在其所在域內(nèi)指派權(quán)限。
2、全局組： 單域用戶訪問多域資源（必須是一個域里面的用戶）
全局組的成員可包括其所在域中的其他組和賬戶，而且可在林中的任何域中指派權(quán)限；
3、通用組： 多域用戶訪問多域資源

一句話記憶：域本地組來自全林，作用域本域；全局組來自本域，作用域全林；通用組來自全林，作用域全林

四、活動目錄

活動目錄（ Active Directory ） 是域環(huán)境中提供目錄服務(wù)的組件。

活動目錄（AD）和工作組是基于WINDOWS的局域網(wǎng)中兩種不同的網(wǎng)絡(luò)管理模式。

工作組以計(jì)算機(jī)為管理單元，各計(jì)算機(jī)管理員身份的用戶在資源共享上具有完全自主。一般小型網(wǎng)絡(luò)采取這種組建模式的居多。
活動目錄是大中型網(wǎng)絡(luò)的管理模式，是典型的以用戶為單位的管理模式。

? 目錄 是什么？目錄就是存儲有關(guān)網(wǎng)絡(luò)對象（如用戶、組、計(jì)算機(jī)、共享資源、打印機(jī)和聯(lián)系人等）的信息。目錄服務(wù)是幫助用戶快速準(zhǔn)確的從目錄中查找到他所需要的信息的服務(wù)。

? 如果將企業(yè)的內(nèi)網(wǎng)看成是一本字典，那么內(nèi)網(wǎng)里的資源就是字典的內(nèi)容， 活動目錄 就相當(dāng)于字典的索引。即活動目錄存儲的是網(wǎng)絡(luò)中所有資源的快捷方式，用戶通過尋找快捷方式而定位資源。

1、邏輯結(jié)構(gòu)

? 在活動目錄中，管理員可以完全忽略被管理對象的具體地理位置，而將這些對象按照一定的方式放置在不同的容器中。由于這種組織對象的做法不考慮被管理對象的具體地理位置，這種組織框架稱為“ 邏輯結(jié)構(gòu) ”。

? 活動目錄的邏輯結(jié)構(gòu)就包括上面講到的 組織單元（ OU ）、域（ domain ）、域樹（ tree ）、域森林（ forest ） 。在域樹內(nèi)的所有域共享一個活動目錄，這個活動目錄內(nèi)的數(shù)據(jù)分散地存儲在各個域內(nèi)，且每一個域只存儲該域內(nèi)的數(shù)據(jù)。

2、活動目錄的主要功能

? 帳號集中管理，所有帳號均存在服務(wù)器上,方便對帳號的重命令/重置密碼。
? 軟件集中管理，統(tǒng)一推送軟件，統(tǒng)一安裝網(wǎng)絡(luò)打印機(jī)等。利用軟件發(fā)布策略分發(fā)軟件,可以讓用戶自由選擇安裝軟件。
? 環(huán)境集中管理，利用AD可以統(tǒng)一客戶端桌面,IE,TCP/IP等設(shè)置。
? 增強(qiáng)安全性，統(tǒng)一部署殺毒軟件和掃毒任務(wù)，集中化管理用戶的計(jì)算機(jī)權(quán)限、統(tǒng)一制訂用戶密碼策略等，可監(jiān)控網(wǎng)絡(luò)，資料統(tǒng)一管理。
? 更可靠，更少的宕機(jī)時間。如：利用AD控制用戶訪問權(quán)限，利用群集、負(fù)載均衡等技術(shù)對文件服務(wù)器進(jìn)行容災(zāi)設(shè)定，更可靠，宕機(jī)時間更少。
? 活動目錄為Microsoft統(tǒng)一管理的基礎(chǔ)平臺，isa,exchange,sms等服務(wù)都依賴于這個基礎(chǔ)平臺。

3、AD和DC的區(qū)別

? 如果網(wǎng)絡(luò)規(guī)模較大，我們就會考慮把網(wǎng)絡(luò)中的眾多對象：計(jì)算機(jī)、用戶、用戶組、打印機(jī)、共享文件等，分門別類、井然有序地放在一個大倉庫中，并做好檢索信息，以利于查找、管理和使用這些對象（資源）。這個有層次結(jié)構(gòu)的數(shù)據(jù)庫，就是活動目錄數(shù)據(jù)庫，簡稱AD庫。
? 那么我們應(yīng)該把這個數(shù)據(jù)庫放在哪臺計(jì)算機(jī)上呢？規(guī)定是這樣的，我們把存放有活動目錄數(shù)據(jù)庫的計(jì)算機(jī)就稱為DC。所以說我們要實(shí)現(xiàn)域環(huán)境，其實(shí)就是要安裝AD，當(dāng)內(nèi)網(wǎng)中的一臺計(jì)算機(jī)安裝了AD后，它就變成了DC

問題？

? 假如一個公司有200臺電腦，我們希望某臺電腦上的賬戶Alan可以訪問每臺電腦內(nèi)的資源或者可以在每臺電腦上登錄。那么在“工作組”環(huán)境中，我們必須要在這200臺電腦的各個SAM數(shù)據(jù)庫中創(chuàng)建Alan這個賬戶。一旦Alan想要更換密碼，必須要更改200次!現(xiàn)在只是200臺電腦的公司，如果是有5000臺電腦或者上萬臺電腦的公司呢?
答案！
? 在域環(huán)境中，只需要在活動目錄中創(chuàng)建一次Alan賬戶，那么就可以在任意200臺電腦中的一臺上登錄Alan，如果要為Alan賬戶更改密碼，只需要在活動目錄中更改一次就可以了。

五、DMZ

? DMZ稱為“隔離區(qū)”，也稱“非軍事化區(qū)”。是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)。
? 這個緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施，如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。
? 另一方面，通過這樣一個DMZ區(qū)域，更加有效地保護(hù)了內(nèi)部網(wǎng)絡(luò)，因?yàn)檫@種網(wǎng)絡(luò)部署，比起一般的防火墻方案，對攻擊者來說又多了一道關(guān)卡。

DMZ的屏障功能

（1）內(nèi)網(wǎng)可以訪問外網(wǎng)
內(nèi)網(wǎng)的用戶需要自由地訪問外網(wǎng)。在這一策略中，防火墻需要執(zhí)行NAT。
（2）內(nèi)網(wǎng)可以訪問DMZ
此策略使內(nèi)網(wǎng)用戶可以使用或者管理DMZ中的服務(wù)器。
（3）外網(wǎng)不能訪問內(nèi)網(wǎng)
這是防火墻的基本策略了，內(nèi)網(wǎng)中存放的是公司內(nèi)部數(shù)據(jù)，顯然這些數(shù)據(jù)是不允許外網(wǎng)的用戶進(jìn)行訪問的。如果要訪問，就要通過VPN方式來進(jìn)行。
（4）外網(wǎng)可以訪問DMZ
DMZ中的服務(wù)器需要為外界提供服務(wù)，所以外網(wǎng)必須可以訪問DMZ。同時，外網(wǎng)訪問DMZ需要由防火墻完成對外地址到服務(wù)器實(shí)際地址的轉(zhuǎn)換。
（5）DMZ不能訪問內(nèi)網(wǎng)
如不執(zhí)行此策略，則當(dāng)入侵者攻陷DMZ時，內(nèi)部網(wǎng)絡(luò)將不會受保護(hù)。
（6）DMZ不能訪問外網(wǎng)
此條策略也有例外，比如我們的例子中，在DMZ中放置郵件服務(wù)器時，就需要訪問外網(wǎng)，否則將不能正常工作。

六、相關(guān)名詞解釋

1、SAM

SAM(安全賬戶管理器)，SAM是用來存儲Windows操作系統(tǒng)密碼的數(shù)據(jù)庫文件，為了避免明文密碼泄漏，SAM文件中保存的是明文密碼經(jīng)過一系列算法處理過的Hash值，被保存的Hash分為LM Hash、NTLMHash。在用戶在本地或遠(yuǎn)程登陸系統(tǒng)時，會將Hash值與SAM文件中保存的Hash值進(jìn)行對比。在后期的Windows系統(tǒng)中，SAM文件中被保存的密碼Hash都被密鑰SYSKEY加密。

SAM文件在磁盤中的位置在C:\windows\system32\config\sam

SAM文件在Windows系統(tǒng)啟動后被系統(tǒng)鎖定，無法進(jìn)行移動和復(fù)制

2、Hash

Windows系統(tǒng)為了保證用戶明文密碼不會被泄漏，將明文密碼轉(zhuǎn)換為Hash值進(jìn)行身份驗(yàn)證，被保存在SAM或ntds.dit中。

獲取Hash方法

1.使用卷影副本將SAM文件導(dǎo)出，配合SYSKEY利用mimikatz等工具獲得NTLM Hash

2.使用mimikatz等工具讀取lsass.exe進(jìn)程，獲取Hash

3.配合其他漏洞和手法獲取net-NTLM Hash 4.net-NTLM Hash可以使用Responder或Inveigh等工具獲取

3、ntds.dit

ntds.dit是AD中的數(shù)據(jù)庫文件，它被保存在域控制器c:\windows\system32\ntds\NTDS.DIT位置。活動目錄的數(shù)據(jù)庫文件（ntds.dit）包含有關(guān)活動目錄域中所有對象的所有信息，其中包含所有域用戶和計(jì)算機(jī)帳戶的密碼哈希值。該文件在所有域控制器之間自動同步，它只能被域管理員訪問和修改。

4、Kerberos

Kerberos是一種網(wǎng)絡(luò)認(rèn)證協(xié)議，對個人通信以安全的手段進(jìn)行身份認(rèn)證。其設(shè)計(jì)目標(biāo)是通過密鑰系統(tǒng)為客戶機(jī)/服務(wù)器應(yīng)用程序提供強(qiáng)大的認(rèn)證服務(wù)。 它允許某實(shí)體在非安全網(wǎng)絡(luò)環(huán)境下通信，向另一個實(shí)體以一種安全的方式證明自己的身份。該認(rèn)證過程的實(shí)現(xiàn)不依賴于主機(jī)操作系統(tǒng)的認(rèn)證，無需基于主機(jī)地址的信任，不要求網(wǎng)絡(luò)上所有主機(jī)的物理安全，并假定網(wǎng)絡(luò)上傳送的數(shù)據(jù)包可以被任意地讀取、修改和插入數(shù)據(jù)。在以上情況下， Kerberos 作為一 種可信任的第三方認(rèn)證服務(wù)，是通過傳統(tǒng)的密碼技術(shù)(如:共享密鑰)執(zhí)行認(rèn)證服務(wù)的。

協(xié)議內(nèi)容

• AS：認(rèn)證服務(wù)器
• KDC：密鑰分發(fā)中心
• TGT：票據(jù)授權(quán)票據(jù)，票據(jù)的票據(jù)
• TGS：票據(jù)授權(quán)服務(wù)器

5、SMB

SMB(Server Message Block)被稱為服務(wù)器消息塊，又叫網(wǎng)絡(luò)文件共享系統(tǒng)(CIFS)。在Windows2000中，SMB除了基于NBT實(shí)現(xiàn)，還可以直接通過445端口實(shí)現(xiàn)。

主要功能

使網(wǎng)絡(luò)上的機(jī)器能夠共享計(jì)算機(jī)文件、打印機(jī)、串行端口和通訊等資源。

6、IPC(進(jìn)程間通信)

指至少兩個進(jìn)程或線程間傳送數(shù)據(jù)或信號的一些技術(shù)或方法。

7、WMI

WMI(Windows管理規(guī)范)，由一系列對Windows Driver Model的擴(kuò)展組成，它通過儀器組件提供信息和通知，提供了一個操作系統(tǒng)的接口。在滲透測試過程中，攻擊者往往使用腳本通過WMI接口完成對Windows操作系統(tǒng)的操作，遠(yuǎn)程WMI連接通過DCOM進(jìn)行。例如：WMIC、Invoke-WmiCommand、Invoke-WMIMethod等。另一種方法是使用Windows遠(yuǎn)程管理（WinRM）。

七、內(nèi)網(wǎng)滲透常用端口

• 53
  DNS服務(wù)，在使用中需要用到TCP/UDP 53端口，AD域的核心就是DNS服務(wù)器，AD通過DNS服務(wù)器定位資源

• 88
  Kerberos服務(wù)，在使用中需要用到TCP/UDP 88端口，Kerberos密鑰分發(fā)中心(KDC) 在該端口上偵聽Ticket請求

• 135
  135端口主要用于使用RPC協(xié)議并提供DCOM服務(wù)。

• 137
  NetBIOS-NS(名稱服務(wù))，在使用中需要用到TCP/UDP 137端口

• 139
  Session Server(會話服務(wù)),在使用中需要用到TCP/UDP 139端口，允許兩臺計(jì)算機(jī)建立連接

• 389
  LDAP服務(wù)(輕量級目錄訪問協(xié)議)，在使用中需要用到TCP/UDP 389端口，如果需要使用SSL，需要使用636端口，

• 445
  主要用于共享文件夾或共享打印，存在較多漏洞，如MS08-067、MS17-010

• 3268

  Global Catalog(全局編錄服務(wù)器)，如果需要使用SSL，需要用到3269端口，主要用于用戶登錄時，負(fù)責(zé)驗(yàn)證用戶身份的域控制器需要通過防火墻，來向“全局編錄”查詢用戶所隸屬的通用組

八、常用工具和方式

1.滲透框架

• Cobalt Strike
• Empire
• NiShang
• Metasploit
• Powersploit

2.信息收集

• Netsess.exe
• Powerview
• Bloodhound
• Nmap

3.權(quán)限提升

• Powerup
• UACME
• 假冒令牌:
  1.Incognito
  2.Powershell – Invoke-TokenManipulation.ps1
  3.Cobalt Strike – steal_token

4.口令爆破

• Hydra
• John
• Hashcat

5.憑據(jù)竊取

• Mimikatz
• Procdump
• QuarksPwDump
• LaZagne.exe

windows工具:

mimikatz

wce

Invoke-WCMDump

mimiDbg

LaZagne

nirsoft_package

QuarksPwDump

fgdump

linux工具:

LaZagne

mimipenguin

6.橫向滲透

• psexec
• wmi
  (1)wmic (2)wmiexec.vbs (3)Invoke-WMIMethod
• WinRM
• DCOM
• WCE
• 組策略種馬

7.MIMT

• Responder
• Impacket
• Invoke-Inveigh.ps1
• Cain

8.Bypass AV

• Invoke-Obfuscation
• Veil
• shellcode loder
• reflect dll inject

總結(jié)

以上是生活随笔為你收集整理的[WEB安全]内网基础知识整理的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。