1.域环境&工作组&局域网探针方案

0x01.常见小型企业网络架构图

一般实战我们渗透拿下的web服务器就是处于图中的DMZ区的web服务器 , 当然也可能存在内网和web在一起

0x02.常见概念

工作组 : 常见的家用个人pc , 网吧环境 , 宿舍网 这些都是处于工作组环境
域环境 : 一般企业办公环境 , 有一台域控机器可以管理其他计算机
AD : 活动目录 , 是域控机器上的一种策略功能
DC : 域控
单域 : 单独的只有一个域
父域子域 : 比如北京办公域和海淀办公域
域数和域森林 : 多个域分支 , 呈树状结构

linux有域环境吗?

linux也有活动目录 , 但是要装LDAP , 操作复杂 , 而且功能不如win域管理强大 , 一般linux还是做服务器比较好

单域图

0x03.域内信息收集

1.基本信息收集

旨在了解当前服务器的计算机基本信息，为后续判断服务器角色，网络环境等做准备

常用命令

systeminfo 详细信息
net start 启动服务
tasklist 进程列表
schtasks 计划任务

2.网络信息收集

旨在了解当前服务器的网络接口信息，为判断当前角色，功能，网络架构做准备

常用命令

ipconfig /all 判断存在域-dns
net view /domain 判断存在域   会返回当前域名称
net time /domain 判断主域
netstat -ano 当前网络端口开放
nslookup 域名 追踪来源地址
ping 域名(或者计算机名)            ping hacker.testlab              (判断当前域控ip)

3.用户信息收集

旨在了解当前计算机或域环境下的用户及用户组信息，便于后期利用凭据进行测试

系统默认常见用户身份

Domain Admins：域管理员（默认对域控制器有完全控制权）
Domain Computers：域内机器
Domain Controllers：域控制器
Domain Guest：域访客，权限低
Domain Users：域用户
Enterprise Admins：企业系统管理员用户（默认对域控制器有完全控制权）

相关用户收集操作命令

whoami /all 用户权限
net config workstation 登录信息
net user 本地用户
net localgroup 本地用户组
net user /domain 获取域用户信息                                  *****
net group /domain 获取域用户组信息
wmic useraccount get /all 涉及域用户详细信息
net group "Domain Admins" /domain 查询域管理员账户          *****
net group "Enterprise Admins" /domain 查询管理员用户组
net group "Domain Controllers" /domain 查询域控制器(返回计算机器名+$)           *****

4.凭据信息收集

旨在收集各种密文，明文，口令等，为后续横向渗透做好测试准备 计算机用户 HASH，

明文获取-mimikatz(win)，mimipenguin(linux) 计算机各种协议服务口令获取-LaZagne(all)，XenArmor(win) --> 国外的一款密码神器,但是付费,破解版都是很老的

wifi密码获取

Netsh WLAN show profiles 
Netsh WLAN show profile name="无线名称" key=clear 

常见各类密码

1.站点源码备份文件、数据库备份文件等 
2.各类数据库 Web 管理入口，如 PHPMyAdmin 
3.浏览器保存密码、浏览器 Cookies 
4.其他用户会话、3389 和 ipc$连接记录、回收站内容 
5.Windows 保存的 WIFI 密码 
6.网络内部的各种帐号和密码，如：Email、VPN、FTP、OA 等

mimikatz演示密码(管理员权限)的获取 :

privilege::debug
sekurlsa::logonpasswords

5.探针主机域控架构服务

为后续横向思路做准备，针对应用，协议等各类攻击手法 探针域控制器名及地址信息

常用命令

net time /domain    返回当前域控计算机名.域名

nslookup dc.hacker.testlabping dc.hacker.testlab探针域内存活主机及地址信息

探测域内存活主机nbtscan 192.168.1.0/24           第三方工具(存在被杀的风险)for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.3.%I | findstr "TTL="      自带内部命令

nmap masscan 第三方 PowerShell 脚本 nishang empire 等

#导入模块 nishang Import-Module .\nishang.psm1 #获取执行策略 Get-ExecutionPolicy#设置执行策略 Set-ExecutionPolicy RemoteSigned #获取模块 nishang 的命令函数 Get-Command -Module nishang #获取常规计算机信息 Get-Information #端口扫描（查看目录对应文件有演示语法，其他同理） Invoke-PortScan -StartAddress 192.168.3.0 -EndAddress 192.168.3.100 -ResolveHost -ScanPort #其他功能：删除补丁，反弹 Shell，凭据获取等 

探针域内主机角色及服务信息 利用开放端口服务及计算机名判断

核心业务机器:

1.高级管理人员、系统管理员、财务/人事/业务人员的个人计算机2.产品管理系统服务器3.办公系统服务器4.财务应用系统服务器5.核心产品源码服务器（自建 SVN、GIT）6.数据库服务器7.文件或网盘服务器、共享服务器8.电子邮件服务器9.网络监控系统服务器10.其他服务器（内部技术文档服务器、其他监控服务器等）