内网安全：域渗透(初级篇)

最近听到身边人都在讨论内网渗透这个问题.就写个内网的小文章吧.文章纯属菜鸟我对内网渗透的一些个人理解.如果有错,请大牛指正.不要吐我口水哦。
  
纯属科普文！大牛，老鸟飘过！
  
一、信息收集。
  
不管是做外网还是内网，信息收集都是很有必要的第一步，当我们控下一台机器的时候，内网是个什么结构？这台机器是一个什么角色？使用机器的人是一个什么角色？上面装的什么杀毒？机器是怎么上网的？机器是笔记本，还是台式机？等等等等。。。
  
1、ipconfig /all
  
@@用来查看当前机器的网络环境,判断是工作组,还是域环境.网段是怎么划分的,每个段有多少台机器,DNS服务器IP是多少。
  
2、net view
  
@@用来查看跟本机有关联的机器名.注意,是跟本机有关联的机器,而不是一个段的机器.
  
3、net view /domain
  
@@用来查看当前网络环境存在几个域.
  
4、net view /domain:xxxx
  
@@查看xxx域中存在的跟本机有关联的机器.
  
5、net group "domain admins" /domain
  
@@查看域内管理员.
  
6、net user /domain
  
@@查看域内的用户名.
  
7、net group "domain computers" /domain
  
@@查看域内所有机器名.
  
8、netstat
  
@@查看连接信息.
  
9、nbtstat
  
@@由IP地址得到机器名
  
这一套命令下来,内网的一些基本的信息还是定得差不多了.
  
二、分析内网环境
  
上面我们已经得到了一些内网信息,现在我们就需要好好分析一下了.
  
1、分析出内部网络是怎么划分的.是按照部门划分的网络段,还是按照楼层,还是按照地区划分.
  
2、分析出内部网络机器名的命名规则.特别是个人机,这对选取有价值目标很重要.不过有些内网是采用的无规则命名法,这也是正常的.但是一般还是有规律的.
  
3、分析出内部网络重要人的电脑名.这些重要人物一般在对外网站上都会有一些介绍的.再根据机器命名规则,就可以大概分析得出这些机器.这里要注意,有些人有多个电脑哦.还有些人用的是笔记本的.
  
4、分析域结构,有些内部网络是多层域结构,而且还是多级域结构,这样,我们就需要先分析出,现在这电脑所在域是几级子域,这个子域域控以及根域域控是哪些,还有其他域的域控是哪些.一般域控命名都有DC字样.
  
三、进攻内网.
  
个人认为，进攻内网主要在于一个细字上。像狗一样去做渗透。一般的进攻内网有如下手法；
  
1、内网web渗透.内网的WEB,一般情况下是比较容易搞下的,毕竟不像放在公共网络上.有那么大的风险,相对的,管理也就松散一些了.而且,内网的一些服务器是做测试用的,至于哪些服务器是做什么用的,可以通过判断机器名来分析,机器名的命名大多是有规律的.这跟国家风俗有一些习惯,但是也有公司采用无规则命令法,这就很蛋疼.
  
2、内网SQL.内网的SQL一般是特别有用的.因为一般域结构的内网,都会比较看重权限.那么一般WEB上都会有登陆验证,这些验证SQL就特别有用了，拿下来,对应人跟机器,后面,你懂的.
  
3、抓HASH，弱口令匹配内网机器。一般内网的机器弱口令还是存在的。分析一些内部的常用密码，然后再自己组合一些密码，再用工具去匹配，一般还是有收获的。以前有些HASH还破解不出来，还得依靠HASH注入这些技术，现在有了新东西mimikatz，可以抓取内存的密码，还是直接明文的。容易多了。
  
4、内网进攻常用命令整理：
  
net use \IPipc$ password /user:username@domain（IPC对方）
  
net use \ipipc$ "pwd" /user:ipusername@domain （解决IPC时遇到权限问题）
  
net time \IP
  
at \IP
  
  
四、本次文章的总结。
  
从小老师就教育我们写东西要多采用总分总的结构，所以，最后还总结一下吧。
  
其实域的渗透，并不是那么难的，相对的，WORKGROUP的渗透个人认为，难度还要大得多。只是存在域的内部网络，我们在渗透的过程中，一定要做到细，很多人在做内网渗透的时候，起手就是所谓的嗅探什么的。这真的是太小看你的对手了吧。现在各种IPS，IDS，各种监控。只要你动作稍微大一点，你就死定了。另外就是说，希望大家在平时能多积累一些自己的工具。很多人去内网后，居然直接操起网上随便下的一个大家认为很好的工具就用，且不说别人会不会抓BANNER把这类工具列入黑名单。但说现在的黑吃黑现象，我觉得就够恼火了。而且，做内网，还是用自己的东西，才放心吧。毕竟你也要面对各种类型的杀毒，FIREWALL什么的。
  
最后给大家贴个BAT吧。网上也有的。
  
@echo off
  
setlocal ENABLEDELAYEDEXPANSION
  
@FOR /F "usebackq delims=, " %%J IN (`net view /domain ^|find "2" /v ^|find "The command completed successfully." /v ^|find "1" /v ^|find "--" /v ^|find "Domain" /v ^|find "" /v ^|find "コマンドは正常に終了しました" /v /i`) do (
  
@echo =====domain:%%J========
  
@FOR /F "usebackq eol=; delims=, " %%i in (`net view /domain:%%J ^|findstr "\"`) DO (
  
@FOR /F "usebackq eol=; tokens=1,2,3* delims=\" %%a in (`echo %%i`) do (
  
@FOR /F "tokens=1,2,3,4* usebackq delims=: " %%K IN (`@ping -a -n 1 -w 100 %%a ^|findstr "Pinging"`) do (
  
@echo \%%L %%M
  
)
  
)
  
)
  
)
  
echo %0
  
@@这个BAT用来收集信息的，具体什么情况，大家自己测试下吧。
  
  
这次暂时就写这么多吧。本人表达能力有限，希望各位看管将就着看看。更多精彩，请关注域渗透(中级篇)。