域渗透
很多时候我们在渗透的时候几乎都在内网旁注等xx操作,但是你知道吗,其实很多时候我们都进入了一个域,但你知道怎么进行域渗透吗?这里秒杀将为你科普下! 首先还是先简要看一下域的概念吧: 域 (Domain) 是Windows网络中独立运行的单位,域之间相互访问则需要建立信任关系(即Trust Relation)。信任关系是连接在域与域之间的桥梁。当一个域与其他域建立了信任关系后,2个域之间不但可以按需要相互进行管理,还可以跨网分配文件 和打印机等设备资源,使不同的域之间实现网络资源的共享与管理。 域既是 Windows 网络操作系统的逻辑组织单元,也是Internet的逻辑组织单元,在 Windows 网络操作系统中,域是安全边界。域管理员只能管理域的内部,除非其他的域显式地赋予他管理权限,他才能够访问或者管理其他的域;每个域都有自己的安全策 略,以及它与其他域的安全信任关系。 通过上述的了解,我们可以知道域管理员的权限是相当大的,域管理员可以通过持有域的登陆票据从而实现对域内各个计算机的远程管理,即有权限登陆任何一台机器。那么在渗透的过程中我们就可以通过某种方式记录下管理员登陆的密码,当然了,这只是其中的一种思路。 获得一台内网或域中的肉鸡之后,先来查看一下当前的网络环境,执行: net view 即可获得一系列主机名,并且可以通过Ping其机器名得到其IP地址,不过注意到列出的机器名只是在网络结构中有联系的,而不一定就在同一内网或域中。 执行 ipconfig /all 来查看是否存在域环境,倘若存在的话则可以继续执行: net user /domain 来查看域内都有哪些用户,还可以查看指定域内都有哪些计算机: net view /domain:testdomain (testdomain 假设为目标的其中一个域) 查看域内的管理员用户则可以执行: net group “domain admins” /domain 还可以通过命令: net user domain-admin /domain 查看管理员登陆时间,密码过期时间,是否有登陆脚本,组分配等信息。 一般在正式进攻之前还是多多掌握一些网络的信息为好,可以通过遍历管理员的文件从中获取可能的隐私信息,信息越多越好,其次就是抓取本机的hash值,这里可以用到一个工具:pwdump7.exe 用这个来抓hash很简单,命令行下直接执行即可,将hash导出到文本的命令为: pwdump7.exe>1.txt 得到hash之后就可以用工具诸如lc5,rainbowcrack,saminside,ophcrack 之类的去破解了,运气好的话能破解出来了就可以利用这个密码尝试登陆内网的其他机器了,当然了,权限到底大不大那只能看运气了。这里还介绍另外一个域渗透 中的利器:gsecdump 好处就在于能从域服务器密码存储文件 windows/ntds/ntds.dit 中导出所有域用户hash的工具,并能从活动进程中导出hash。而且只要有一个本地管理员权限 利用hash注入能开启域管理员进程,方便域渗透。命令行下的东西,看看说明就知道怎么用了。 还可以通过记录域管理员登陆该主机密码来获取信息,这里用到一个小工具:Winlogon 可以截获登陆本机3389的密码,当然了也可以截获域管理员登陆的密码了,至于如何让域管理员登陆此机,有可能需要一段漫长的等待,或许管理员有个固定的 周期来登陆例行检查,或者你也可以制造个谎情来欺骗域管理员的登陆,以前就有哥们冒充服务器管理员给域管理员拨通了电话谎称服务器中了病毒无法清除请他来 帮忙,域管理员没来得及多想就登陆进来了,结果可想而知,密码成功被记录!当然了,更多的方法还是要靠大家自己去想了,呵呵。 由于Winlogon只能将密码记录在本机,因为不知道管理员什么时候登陆进来,于是我们可以利用网上有人改造过的可以Asp发信的版本,直接将截获的用户名和密码发送至自己的Asp收信地址了。不过好像仅适用于Win2003系统。 使用方法为:运行 Loader.exe 填入自己的收信地址之后就会生成 CreateServer.exe,将Asp传到服务器,然后在肉鸡上运行密码记录器即可,post.asp 会在你的URL地址下生成key.txt。