内网基础知识

内网渗透

工作组和域

工作组:将不同的计算机按照功能或部门分别置于不同的组。使整个组织的网络变得具有层次性。
域:统一的管理和集中的身份验证,比工作组更高级的计算机资源管理模式。

  • 单域
  • 父域和子域
  • 域树(域管理员只能管理本域,若两个域之间要互相访问,需要建立信任关系)
  • 域林

域控制器DC(域控):“中控枢纽”。包含一个活动目录数据库(存储着整个域的账号密码计算机信息)。

活动目录与LDAP

活动目录AD:提供集中式目录管理服务。是一种目录服务数据库。
目录服务数据库是什么?在目录服务数据库中,数据通常以树状结构进行组织:

- 根DC
  - 组织单位OU:公司A
    - 用户CN:Alice
    - 用户CN:Bob
  - 组织单位OU:公司B
    - 用户CN:Charlie
    - 用户CN:David

跟MySQL等关系型数据库相比:关系型数据库以表格的形式存储数据,其中每个表格都由行和列组成。
关系型数据库的结构是扁平的,而不是层次结构。
目录服务数据库更适合表示层次关系。
LDAP(轻量级目录访问协议):是一种协议,用于访问和维护目录服务数据库。
LDAP定义了客户端和服务器之间进行目录查询和更新的通信规则。
在描述 Active Directory 中对象的位置时,我们使用 LDAP 的名称路径(通常是对象的DN)来指定对象在整个目录树中的确切位置。
LDAP提供了一种层次结构化的方式,让我们能够清晰地了解和表达 Active Directory 中各个对象的相对位置。
DN(绝对可辨识名称):指向一个LDAP对象的完整路径。DN由对象本体开始向上延伸到根。
下面是一个DN:

CN=John Doe,OU=Users,DC=example,DC=com
  • CN:通用名。
  • OU:组织单位。
  • DC:域组件。

那么这个DN其含义就是:John Doe对象在example.com域的Users组织单元中。
RDN(相对可辨识名称):用于指向一个LDAP对象的相对路径。
例如:(RDN举例说明)在给定的DN (CN=John Doe,OU=Users,DC=example,DC=com) 中:

  • CN=John Doe 是第一个相对独特名称 (RDN)
  • OU=Users 是第二个 RDN
  • DC=example 是第三个 RDN
  • DC=com 是最后一个 RDN

每个相对独特名称 (RDN) 在整个 DN 中都是相对唯一的,但是整个 DN 才是用来唯一标识目录树中对象的。
所以,在 (CN=John Doe,OU=Users,DC=example,DC=com) 中,OU=Users 只是其中的一个组成部分,用于构建整个 DN。

ntds.dit文件和SAM文件

目录数据存储在域控的ntds.dit文件中。
ntds.dit:是域控上保存的一个二进制文件,是主要的活动目录数据库。

  • 文件路径:%SystemRoot%\ntds\ntds.dit
  • 文件内容:有关域用户、用户密码哈希散列值、用户组组成员身份和组策略。
  • 加密方式:使用存储在系统SYSTEM文件的密钥对这些哈希值进行加密。

SAM文件:工作组环境下,用户的登录凭据等信息存储在本地SAM文件。

  • 文件路径:C:\Windows\System32\config\SAM

    活动目录的访问

    使用AD Explorer工具连接域控制器来访问活动目录。
    AD Explorer也是属于microsoft的sysinternals套件里的一款工具。
    链接:https://learn.microsoft.com/zh-cn/sysinternals/
    PsExec也是属于这个套件里的。

    活动目录分区

    微软将活动目录数据库划分为多个分区,这些分区称为 上下文命名(NC)。
    1、域分区(Domain NC)
    DC=hack-my, DC=com就是hack-my.com域的域分区。

  • CN=Builtin内置了本地域组的安全组的容器

2、配置分区(Configuration NC)
CN=Configuration, DC=hack-my, DC=com就是配置分区。

3、架构分区(Schema NC)

活动目录的查询

1、LDAP
2、AdFind

域用户与机器用户

域用户有的属性,机器用户都有。
在域环境下,本地用户System对应域中的机器用户。

域用户组的分类:通讯组(发消息组内都能收到)、安全组(安全权限)
安全组分为:域本地组、通用组、全局组
(域树域林中)

访问控制

Windows访问控制模型分为:

  • 访问令牌:如果身份验证通过则会创建一个访问令牌(包括一些特权列表)。

  • 安全描述符:SID+ACL。(谁能访问,怎么访问)

    访问控制列表ACL

    访问控制列表ACL 里面有很多 访问控制项ACE。
    ACL分类:

  • DACL:自主访问控制列表

  • SACL:系统访问控制列表

icacls命令可以查看文件的ACL

F,完全访问

组策略对象GPO

组策略是管理账户的一种手段。
组策略对象GPO 是组策略设置的集合。只需将组策略对象链接到指定站点域组织单位OU即可。
GPO组成:

  • 组策略容器GPC:存在活动目录分区
  • 组策略模板GPT:存在%SYSTEMROOT%\SYSVOL\sysvol\domain\Policies

组策略配置时:

  • 策略配置 是强制的。
  • 首选项配置 不强制,用户可自行更改。