内网名词及提权概述-笔记

文章目录

• • 内网名词
  • • 工作组
    • 域
    • 域控制器
    • 单域
    • 父域与子域
    • 域树
    • 域森林
    • DNS域名服务器
    • 活动目录
    • AD和DC的区别
    • 域本地组
    • 全局组
    • 通用组
  • 计算机中的权限
  • 什么时候使用提权
  • 常见基础命令
  • • Windows基础命令
    • • Windows其他常用命令
    • Linux常用命令
    • • 查看系统版本
      • • 查看发行版
        • 查看内核版本
    • 常见提权方法
    • • Windows提权漏洞集合
      • Linux提权漏洞集合
      • Mac-OS提权漏洞集合
  • 基于密码破解的提权
  • • 获取密码手段
    • Windows密码
    • • Windows密码原理
      • • 密码格式
      • Windows密码hash抓取
      • • sam文件、system文件
        • gethashs
        • pwdump
        • wce
      • Windows密码破解（破解hash）
      • • saminside字典破解
      • windows明文密码
      • • mimikatz （从内存读信息）
        • wce（从内存读信息）
        • getpass
    • Linux密码
    • • Linux密码原理
      • Linux的加密算法
      • 破解Linux密码
      • • john破解Linux密码

内网名词

工作组

为了方便管理会将电脑编入不同的组，例如技术本部的电脑都归到“技术部”工作组中

域

域是一个有安全边界的计算机的集合，安全边界意思是一个域中的的用户不可以访问另一个域中的用户，可以理解为带边界的升级版工作组。

域控制器

域控制器（Domain Controller，简写为DC）是一个域中的一台类似管理服务器的计算机，相当于一个单位的门卫一样，它负责每一台联入的电脑和用户的验证工作，域内电脑如果想互相访问首先都是经过它的审核。

单域

父域与子域

父域是一个总的域，在这个大域中分出来的其他域叫子域。比如一个大公司他整个域叫做父域，之后根据地理位置不同将子公司划分到不同的子域当中。

域树

域树指若干个域通过建立信任关系组成的集合。一个域管理员只能管理本域的内部，不能访问或者管理其他的域，二个域之间相互访问则需要建立信任关系（Trust Relation）。
在一个域树中，父域可以包含很多子域，子域是相对父域来说的，指域名中的每一个段。子域只能使用父域作为域名的后缀，也就是说在一个域树中，域的名字是连续的。

域森林

域森林指若干个域树通过建立信任关系组成的集合。

DNS域名服务器

一般情况下，我们在内网渗透时就通过寻找DNS服务器来定位域控制器，因为通常DNS服务器和域控制器会处在同一台机器上。

活动目录

活动目录是域环境中提供目录服务的组件。
目录就是存储有关网络对象（如用户、组、计算机、共享资源、打印机和联系人等）的信息。类似与字典的索引

AD和DC的区别

AD：是指活动目录数据库，里面存放众多的网络对象DC：存放AD的计算机被称为DCAD本质是提供目录服务的组件、DC本质是个计算机

域本地组

全局组

通用组

通用组，通用组成员来自域林中任何域中的用户账户、全局组和其他的通用组，可以在该域林中的任何域中指派权限，可以嵌套于其他域组中。非常适于域林中的跨域访问。

可以简单这样记忆：
域本地组：来自全林用于本域
全局组：来自本域作用于全林
通用组：来自全林用于全林

计算机中的权限

分类：

1. 匿名访问权限（不需要账户直接访问）
2. 来宾权限（使用来宾账号访问）
3. 用户权限
4. 管理员权限
5. 系统权限

什么时候使用提权

当前权限不允许我们要执行的操作时需要进行提权
提权的一些情景

1. 后台权限——web权限(webshell)——系统权限
2.数据库权限——数据库root权限——系统权限 
3.用户权限（不允许添加用户）——管理员权限

常见基础命令

Windows基础命令

1.查看用户登录情况
query user
2. 查看当前用户权限
whoami
3.查看当前系统版本于补丁信息
这个比较重要，通过版本、补丁能为之后的提权提供信息。
systeminfo

4.提升到系统权限后，添加管理员用户，并添加到管理员组

net user  username  pass/add 
net localgroup administrators username/add

5. 之后连接远程桌面（3389），连不上需要将你添加的账户添加到远程桌面组
   net localgroup “Remote Desktop Users”username/add

Windows其他常用命令

ipconfig
netstat -ano                            //查看端口
dir c:\                                    //查看目录
type 指定路径\1.txt                  //查看指定文件内容,多为txtecho 字符串>路径\2.txt            //输入文本到文件，会覆盖原文件内容,需要文件路径。特殊字符需转义：^(ECHO 字符串 &ECHO 字符串…)>文件路径和文件名     //覆盖写入多行文本
echo 字符串>>路径\2.txt                                     //追加写入
copy 1.txt 2.php                                               //将1.txt复制 ，名字为2.php
rename 路径   新名字
tasklist 查看所有进程占用的端口
taskkill    /im  进程名 /f                                    //    /f 表示强制终止 ，  /im 表示指定的进程名称，强制结束进程

Linux常用命令

查看系统版本

查看发行版

cat /etc/issue
cat /etc/*-release

查看内核版本

uname -a

常见提权方法

Exploit-db本地提权
https://www.exploit-db.com/local

Windows提权漏洞集合

https://github.com/SecWiki/windows-kernel-exploits

Linux提权漏洞集合

https://github.com/SecWiki/linux-kernel-exploits

Mac-OS提权漏洞集合

https://github.com/SecWiki/macos-kernel-exploits

基于密码破解的提权

获取密码手段

1、中间人劫持：网络窃听
2、键盘记录
3、永恒之蓝
4、git、配置文件泄露
5、shifit后门

Windows密码

Windows密码原理

Windows密码hash=LM-has+NTLM-hash
lan manager hash、nt lan manager

密码格式

hash破解网站
hash（nt-hash）破解
cmd5也支持这个格式。

Windows密码hash抓取

1、导入导出sam、system（系统存密码的文件）
2、gethashs导出（后三种都是使用的软件）
3、pwdump导出
4、wce导出

sam文件、system文件

sam文件是windows 2000的用户账户数据库,所有用户的登录名及口令等相关信息都会保存在这个文件中。

gethashs

pwdump

wce

Windows密码破解（破解hash）

saminside字典破解

同时导入sam、system文件，返回hash值，之后通过暴力破解的方式破解密码
##### Ophcrack加载彩虹表破解

windows明文密码

我的理解是本质上Windows上并没有存储明文密码，都是使用工具抓取密码解密后呈现给用户的

mimikatz （从内存读信息）

下载连接
获取密码最常用的两条命令，
privilege::debug(提权到bug)
sekurlsa::logonPasswords(获取当前用户账号/密码)
两者结合使用即可得到明文的Windows密码。

其他功能

process::list (查看当前进程)
process::start cale.exe(启动进程)
process::stop 杀毒软件（停掉杀毒软件）
lsadump::sam(读samwen文件，可能失败)
lsadump::hash(读密码)
ts::multirdp(设置多用户登陆)
event::clear(删除安全登陆日志)
event::drop(不让记录日志)
misc::cmd(启动cmd)
misc::wifi(查看wifi密码)

wce（从内存读信息）

获取明文密码wce -w

getpass

进入目录输入 getpass.exe 执行即可，抓到密码之后会自动显示出来。

Linux密码

Linux密码原理

Linux下涉及密码的两个重要的文件

/etc/passwd #用户信息、用户名
/etc/shadow #密码信息   

Linux的加密算法

Linux共有5种加密算法，密文使用的是何种加密方式靠账号后面的$x来判断，
$1： Md5加密算法
$2: Blowfish加密算法
$5：Sha-256加密算法
$6：Sha-512加密算法
其他格式均为标准des加密。
例如下面的密文，由$6可知使用的是sha-512加密。
root:$6$8Krl0yVz$8VXrIJBgvghRqZnSjgGgBTVOwJeX9qmSJO5f3fhkIKe.ztqnVfXjIQoANd9X4iroyYOGx0GYmap9vjmH4xhqT:17490:0:99999:7:::

破解Linux密码

john破解Linux密码

添加这个账户是为了演示的简便。
adduser test #添加一个test用户密码为123456789
unshadow /etc/passwd /etc/shadow > 2.txt 4导出密码列表
john --wordlist=/us/share/john/password.lst 2.txt 加载字典暴力破解密码
john --show 2.txt +显示破解成功的密码

本文来自互联网用户投稿，文章观点仅代表作者本人，不代表本站立场，不承担相关法律责任。如若转载，请注明出处。 如若内容造成侵权/违法违规/事实不符，请点击【内容举报】进行投诉反馈！