内网攻防学习Day1——常见的内网结构

感谢Timeline Sec提供的学习机会

工作组

工作组Work Group是最常见最简单最普通的资源管理模式，就是将不同的电脑按功能分别列入不同的组中，以方便管理。

在工作组中所有的计算机都是平等的，没有管理与被管理之分，因此工作组网络也称为对等网络。

所以对于管理者而言，工作组的管理方式有时会不太便于管理，这时候就需要了解域的概念了。

工作组是局域网中的一个概念，它是最常见的资源管理模式，简单是因为默认情况下计算机都是采用工作组方式进行资源管理的。将不同的电脑按功能分别列入不同的组中，以方便管理。默认情况下所有计算机都处在名为 WORKGROUP 的工作组中，工作组资源管理模式适合于网络中计算机不多，对管理要求不严格的情况。它的建立步骤简单，使用起来也很好上手。大部分中小公司都采取工作组的方式对资源进行权限分配和目录共享。相同组中的不同用户通过对方主机的用户名和密码可以查看对方共享的文件夹，默认共享的是 Users 目录。不同组的不同用户通过对方主机的用户名和密码也可以查看对方共享的文件夹。所以工作组并不存在真正的集中管理作用 ,  工作组里的所有计算机都是对等的 , 也就是没有服务器和客户机之分的。
文件夹-->网络，就可以查看到我们工作组中的其他计算机了，当你要访问某台计算机时，点击它，然后输入该主机的用户名和密码即可看到该主机共享的文件夹。

域

工作组可以随便进进出出，而域则有严格的控制。

在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为域控制器。

用来描述一种架构，和“工作组”相对应，由工作组升级而来的高级架构，域 (Domain)是一个有安全边界的计算机集合（ 安全边界，意思是在两个域中，一个域中的用户无法访问另一个域中的资源）。可以简单的把域理解成升级版的“工作组”，相比工作组而言，它有一个更加严格的安全管理控制机制，如果你想访问域内的资源，就必须拥有一个合法的身份登陆到该域中,而你对该域内的资源拥有什么样的权限,还需要取决于你在该域中的用户身份

NTDS.dit

域用户帐户以域数据库的形式保存在活动目录中，NTDS.dit是活动目录的数据库文件，该文件记录的信息有以下三张表：

• Schema 表 ：这个表中包含了所有可在活动目录创建的对象信息以及他们之间的相互关系。包括各种类型对象的可选及不可选的各种属性。这个表是活动目录数据库中最小的一个表，但是也是最基础的一个表。

• Link 表 ：Link表包含所有属性的关联，包括活动目录中所有对象的属性的值。一个用户对象的所有属性的类型，包括每个属性的值及用户所属于的组等信息都属于这个表。这个表要大于Schema 表，但与Data 表相比要小。

• Data 表：活动目录中用户，组，应用程序特殊数据和其他的数据全部保存在Data表中。这是活动目录中存储信息最多的一个表，大量的活动目录的资料实际上还是存储在这个表中。

Ntdsutil.exe

ntdsutil.exe是域控制器自带的域数据库管理工具，从windows Server 2008开始就默认自带了。因此我们可以通过ntdsutil.exe提取出域中所有的域用户信息。

域控制器DC

简写为DC，域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。

当电脑连入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确的，那么域控制器就会拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，这样就在一定程度上保护了网络上的资源。

正是因为域控起到了一个身份验证的作用，因此站在渗透的角度来说，拿下域控是至关重要的。拿下了域控，就相当于拿到了整个域内所有计算机的账号和密码。

而要想实现域环境，就必须要计算机中安装活动目录，也可以说如果在内网中的一台计算机上安装了活动目录，那它就变成了域控制器。在域中除了域控制器还有成员服务器、客户机、独立服务器。

父域和子域

顾名思义，在一个域下新建了一个域便称其为子域。形象的来说，一个部门一个域，那个如果这个部门还有分部，那每个分部就可被称为子域，这个大的部门便称为父域。每个域中都有独立的安全策略。

域树

域树由多个域组成，这些域共享同一表结构和配置，形成一个连续的名字空间。

树中的域通过信任关系连接起来，活动目录包含一个或多个域树。域树中的域层次越深级别越低，一个“.”代表一个层次，如域child.Microsoft.com 就比 Microsoft.com这个域级别低，因为它有两个层次关系，而Microsoft.com只有一个层次。

而域Grandchild.Child.Microsoft.com又比 Child.Microsoft.com级别低，道理一样。他们都属于同一个域树。Child.Microsoft.com就属于Microsoft.com的子域。

多个域树可以组成一个域林。

域林

域林是指由一个或多个没有形成连续名字空间的域树组成，它与域树最明显的区别就在于域林之间没有形成连续的名字空间，而域树则是由一些具有连续名字空间的域组成。

但域林中的所有域树仍共享同一个表结构、配置和全局目录。域林中的所有域树通过Kerberos 信任关系建立起来，所以每个域树都知道Kerberos信任关系，不同域树可以交叉引用其他域树中的对象。域林都有根域，域林的根域是域林中创建的第一个域，域林中所有域树的根域与域林的根域建立可传递的信任关系.

比如benet.com.cn,则可以创建同属与一个林的accp.com.cn,他们就在同一个域林里.

当创建第一个域控制器的时候，就创建了第一个域（也称林根域），和第一个林。

林，是一个或多个共享公共架构和全局编录的域组成，每个域都有单独的安全策略，和与其他域的信任关系。一个单位可以有多个林。

域名服务器

域名服务器（Domain Name Server,DNS）是指用于实现域名（ Domain Name）和与之相对应的IP地址（ IP Address）转换的服务器。从对域树的介绍中可以看出，域树中的域名和DNS域名非常相似。而实际上，因为域中的计算机是使用DNS来定位域控制器、服务器及其他计算机、网络服务的，所以域的名字就是DNS域的名字。在内网渗透测试中，大都是通过寻找DNS服务器来确定域控制器的位置的（DNS服务器和域控制器通常配置在同一台机器上）。

活动目录AD

活动目录Active Directory，简写为AD，它是 Windows Server 中负责架构中大型网络环境的集中式目录管理服务，在Windows 2000 Server 开始内置于 Windows Server 产品中。

目录包含了有关各种对象，例如用户、用户组、计算机、域、组织单位（OU）以及安全策略的信息。目录存储在域控上，并且可以被网络应用程序或者服务所访问。

活动目录就相当于内网中各种资源的一个目录，通过活动目录用户可以快速定位到这些资源的位置。

活动目录AD是域环境中提供目录服务的组件。在活动目录中，所有的网络对象信息以一种结构化的数据存储方式来保存，使得管理员和用户能够轻松地查找和使用这些信息。活动目录以这种结构化的数据存储方式作为基础，对目录信息进行合乎逻辑的分层组织。活动目录存储着有关网络对象（如用户、组、计算机、共享资源、打印机和联系人等）的信息。目录服务是帮助用户快速准确从目录中查找到他所需要的信息的服务。安装有AD活动目录的服务器就是域控DC。
如果将企业的内网看成是一本字典，那么内网里的资源就是字典的内容， 活动目录就相当于字典的索引。即活动目录存储的是网络中所有资源的快捷方式，用户通过寻找快捷方式而定位资源。
在活动目录中记录的信息，被分为两大部分，一部分保存在活动目录数据库文件NTDS.dit 中，另一部分保存在被复制的文件系统上。

域控制器与活动目录的区别

如果网络规模较大，就要把网络中的众多对象，例如计算机、用户、用户组、打印机、共享文件等，分门别类、井然有序地放在一个大仓库中，并将检索信息整理好，以便查找、管理和使用这些对象（资源）。这个拥有层次结构的数据库，就是活动目录数据库，简称AD库

那么，我们应该把这个数据库放在哪台计算机上呢？要实现域环境，其实就是要安装AD。如果内网中的一台计算机上安装了AD，它就变成了DC（用于存储活动目录数据库的计算机）。在域环境中，只需要在活动目录中创建Alan账户一次，就可以在200台计算机中的任意一台上使用该账户登录；如果要更改Alan账户的密码，只需要在活动目录中更改次就可以了。

安全域的划分

划分安全域的目的是将一组安全等级相同的计算机划入同一个网段。这个网段内的计算机拥有相同的网络边界，并在网络边界上通过部署防火墙来实现对其他安全域的网络访问控制策略（NACL），从而对允许哪些IP地址访问此域、允许此域访问哪些IP地址和网段进行设置。这些措施，将使得网络风险最小化，当攻击发生时，可以尽可能地将威胁隔离，从而降低对域内计算机的影响。

DMZ

DMZdemilitarized zone，中文名为“隔离区”，或称“非军事化区”。它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题，从而设立的一个非安全系统与安全系统之间的缓冲区。

DMZ 区可以理解为一个不同于外网或内网的特殊网络区域，DMZ 内通常放置一些不含机密信息的公用服务器，比如 WEB 服务器、E-Mail 服务器、FTP 服务器等。这样来自外网的访问者只可以访问 DMZ 中的服务，但不可能接触到存放在内网中的信息等，即使 DMZ 中服务器受到破坏，也不会对内网中的信息造成影响。

办公区

公司员工日常的工作区，一般会安装防病毒软件、主机入侵检测产品等。办公区般能够访问DMZ。如果运维人员也在办公区，那么部分主机也能访问核心数据区（很多大企业还会使用堡垒机来统一管理用户的登录行为）。攻击者如果想进入内网，一般会使用鱼叉攻击、水坑攻击，当然还有社会工程学手段。办公区人员多而杂，变动也很频繁，在安全管理上可能存在诸多漏洞，是攻击者进入内网的重要途径之一。

核心区

存储企业最重要的数据、文档等信息资产，通过日志记录、安全审计等安全措施进行严密的保护，往往只有很少的主机能够访问。从外部是绝难直接访问核心区的。一般来说，能够直接访问核心区的只有运维人员或者IT部门的主管，所以，攻击者会重点关注这些用户的信息（攻击者在内网中进行横向移动攻击时，会优先查找这些主机）

域内的各种权限

首先要理解一下组的概念，在组里包含了很多用户，当管理员想要给某个用户分配权限时，只需要将用户加入到对应权限的组里就行，从而提高了管理效率，常见的组有：域本地组、全局组、通用组。

域本地组

成员范围：所有的域；使用范围：自己所在的域

全局组

成员范围：自己所在的域；使用范围：所有的域

通用组

成员范围：所有的域；使用范围：所有的域

A-G-DL-P 策略

A-G-DL-P 策略是将用户账号添加到全局组中，将全局组添加到域本地组中，然后为域本地组分配资源权限。

• A 表示用户账号

• G 表示全局组

• U 表示通用组

• DL 表示域本地组

• P 表示资源权限

参考：
《内网安全攻防》
https://teamssix.com/210203-192358.html
https://mp.weixin.qq.com/s/5wgCGHrE5MNsKvN9rChBsw
https://mp.weixin.qq.com/s/bi-jSmRRvo777WjNrUM7OQ
https://www.jianshu.com/p/d1df8560210c

常用命令

netdom renamecomputer FileServer /newname:ProfileServer 更改计算机名称为ProfileServer
netsh interface ipv4 set address name="本地连接" source=static addr=192.168.10.212 mask= 255.255.255.0 gateway=192.168.10.1
netsh interface ipv4 set dnsserver "本地连接" static 192.168.10.200 primary
netdom join %computername% /domain:http://ESS.COM /userd:administrator /passwordD:a1! /REBoot:5
​
net user ------> 本机用户列表
net localhroup administrators ------> 本机管理员[通常含有域用户]
net user /domain ------> 查询域用户
net group /domain ------> 查询域里面的工作组
net group "domain admins" /domain ------> 查询域管理员用户组
net localgroup administrators /domain ------> 登录本机的域管理员
net localgroup administrators workgroup\user001 /add ----->域用户添加到本机
net group "Domain controllers" -------> 查看域控制器(如果有多台)
ipconfig /all ------> 查询本机IP段，所在域等
net view ------> 查询同一域内机器列表
net view /domain ------> 查询域列表
net view /domain:domainname -----> 查看workgroup域中计算机列表
​

实验部分--搭建域环境

server 2012 域控

首先安装windowsServer2012，直接使用镜像正常安装就行，网上有教程，网络nat模式

设置计算机名

菜单找到计算机，右键，属性，左侧高级系统设置，点击计算机名，点击中间的更改，把他改为下图，重启就生效了

设置静态IP地址

右键点击桌面右下角，打开网络共享中心，点击下图的地方，点击属性，点击Internet协议版本4（TCP/IPv4），把ip地址改为如下即可

安装DNS

点击"添加用户和功能"

一直默认点击下一步 选择安装"DNS服务器"

继续默认下一步 最好确认安装

安装成功后，仪表盘会显示DNS

安装Active Directory 域服务

与安装DNS相似

添加Active Directory 域服务

默认安装即可。

安装成功后，仪表盘可看到AD DS

升级域环境

点击更多，单机"将此服务器升为域控制器"

进入"Active Directory域服务配置向导" 界面 选择"添加新林"，输入根域名"tide.org"

"林功能级别"、"域功能级别"都设置为"Windows Server 2012 R2" 设置域还原密码"tide@666"，当域控出现问题，可以用该密码还原数据。

在"DNS选项"，出现DNS警告。保持默认即可。

保持默认

建议使用网络用户命令行工具的/passwordreq:yes选项获得该账户密码

以管理员身份运行cmd，运行一下命令

net user administrator cseroad@2012  设置密码
net user administrator /passwordreq:yes 

安装后系统会自动重启。

创建Active Directory 用户

选择工具---Active Directory用户和计算机

选择users，单机右键

创建用户

设置密码wang@666

windows 7 域用户

加入域

将该计算机IP地址设置为10.211.55.7，设置DNS为10.211.55.12和202.102.154.3

如果ping无法请求，查看是否关闭防火墙; 如果返回IPv6的地址，关闭IPv6即可。

然后修改计算机名为"Win7-computer"。重启。

填写域tide.org，点击确定。

输入域控主机server 2012的用户名和密码。可成功加入tide.org域

administrator cseroad@2012

重启计算机后，可使用tidewang/wang@666 登录域。

server 2008 域用户

参考windows 7 计算机的操作步骤。 重命名server 2008计算机名为Winserver2008 更改administrator账户密码

net user administrator cseroad@2008

administrator cseroad@2012

现在去 win2012主机上新建一个用户

server 2012 域控新建给的用户和密码为：tidesun/sun@666

转载请注明来自网盾网络安全培训，本文标题：《内网攻防学习Day1——常见的内网结构》

标签：域渗透内网渗透基础内网角色划分内网攻防基础域渗透实验