---恢复内容开始---
目录
当渗透测试到达后渗透阶段时,我们拿到了位于公网主机的权限,并且通过代理能够访问位于内网的机器。这时如果客户有内网渗透的需求,那么我们就要开始进行内网渗透了。
关于如何通过代理访问内网主机:内网转发
关于如何利用MSF添加路由访问内网主机:后渗透阶段之基于MSF的路由转发
关于如何利用MSF探测内网主机: 后渗透阶段之基于MSF的内网主机探测
那么,内网渗透该如何开始呢?内网渗透分内网域渗透和非域渗透。
域环境渗透
简要拓扑图如下,真实环境有可能存在几层内网,多个域
域渗透目的:控制整个域。转换成了获得域管理员账号。
域渗透的思路:先控制域内的一台主机,提权至管理员权限,使用mimikatz获取登录过该主机的账号密码。并进一步充分的挖掘该主机上的各种信息,包括域的信息(域控的主机名、ip、域管理员账号和域成员ip)、域主机上其他服务账号密码信息等等。
利用挖掘到的账号密码对域内其他主机进行弱口令爆破尝试,这样有可能可以获得其他主机的权限。
进行内网渗透,查看有没有MS17_010之类的漏洞,有的话直接拿权限。
对内网进行端口服务扫描,一般内网很多服务都是弱口令
拿到了域成员主机权限后,先提权,然后用mimikatz导出该主机上的账号和密码。如果域管理员登录过该主机,那么我们就可以通过mimikatz导出域管的账号密码。
这里利用的原理是:当域管理员(或域普通成员)登录过域中某台主机时,会在该主机的内存中留有账号和密码。我们可以利用该主机的本地管理员账号用mimikatz就可以dump出内存中存在的账号和密码了。
查询域信息
备注:在域控上,即使以域管理员的身份登录,也不能查看域成员的密码,可以给域成员重置密码,但是不能查看到域成员的密码
获取到域成员主机的权限后,提权,使用mimikatz导出密码。在这台主机上,很有可能域成员曾经登陆过,所以,可以获得域成员账号。使用域成员账号登录,查询以下信息。
查询域控的主机名
方法一:net group "domain controllers" /domain # 这里查询结果后面会多一个 $ ,需要域用户登录查询 方法二:dsquery server #需要域用户登录查询 方法三:net time /domain #需要域用户登录查询