Windows下的域渗透-01
约 1640 字大约 5 分钟
内网
2025-02-26
前言
一边打靶场,一边梳理一下基础的知识和域渗透常见方法及流程,参考 Nu1L 的内网渗透体系建设
基础概念
域的结构
Windows 域结构通常包括以下几个层次:
- 域(Domain):域是组织管理的基本单位。一个域内的所有计算机和用户都受同一个域控制器的管理,可分为单域,多域,父域,子域等
- 树(Tree):多个域可以通过建立信任关系形成树。树中的域共享一个命名空间(例如
company.local),域与域之间可以相互信任。 - 林(Forest):林是多个树的集合,它是活动目录的最高层次。不同林之间不共享命名空间,但可以建立信任关系。林通常代表着跨越多个地理位置或公司单位的组织结构。
域组成部分
域控制器(DC)
域控制器是 Windows 域的核心组件。它保存了域内所有的账户信息、计算机信息和其他配置信息。域控制器会负责用户认证、授权、资源访问控制等。一个域可以有多个域控制器,以提高容错性和负载均衡。
活动目录(AD)
活动目录是微软用来管理域资源的技术,它是一个数据库,存储着有关域中所有对象的信息。对象包括用户账户、计算机账户、组、共享资源等。活动目录可以进行层次化管理,可以组织为树形结构或林(Forest)。
Ntds.dit 文件是域环境的域控制器上保存的一个二进制文件,是主要的活动目录数据库,其文件路径为域控制器的 %SystemRoot%\ntds\ntds.dis。Ntds 文件中包含但不限于有关域用户,用户密码的哈希,用户组,组成员身份和组策略的信息。 在非域环境中即工作组环境中,用户的登录凭证等信息存储在本地的SAM文件中,SAM 文件的位置位于: C:\Windows/system32/config/
目录服务与LDAP
沟槽的 LDAP,学 Java 那会就没学明白
活动目录是一种目录服务数据库,区别于常见的关系型数据库。目录数据库实现是目录服务,是一个帮助用户快速,准确地从目录中找到所需要信息的服务。目录数据库将所有数据库组织成一个有层次的树状结构,其中的每一个节点是一个对象,用户可以根据这个对象名称去查找这个对象的有关信息。
活动目录分区
| 容器名称 | 描述 |
|---|---|
CN=Builtin | 内置了本地域组的安全组的容器。 |
CN=Computers | 机器用户容器,其中包含了所有加入域的主机。 |
CN=Domain Controllers | 域控制器的容器,其中包含域中所有的域控制器。 |
CN=ForeignSecurityPrincipals | 包含域中所有来自域的林外部域的组中所有成员。 |
CN=Managed Service Accounts | 托管服务账户的容器。 |
CN=System | 各种预配置对象的容器,包含信任对象、DNS 对象和组策略对象。 |
CN=Users | 用户和组对象的默认容器。 |
AD 可以借助 AdFind 工具去查询 查询用户
其他
域名(Domain Name):域名是 Windows 域中的唯一标识。它通常采用类似于 DNS(域名系统)的结构,例如
example.com或company.local。组织单位(Organizational Unit, OU):组织单位是活动目录中的一个容器,可以用来组织用户、计算机和组。它帮助管理员简化管理和权限分配。OU 使得权限和策略的管理更加灵活。
用户账户(User Account):用户账户代表一个在域中拥有权限的实体。每个用户账户都有一组特定的权限和资源访问权限。
计算机账户(Computer Account):计算机账户是域中每台计算机的身份,域控制器用来验证计算机是否被授权加入域。计算机账户由计算机名和密码组成。
组: 组是用户账户的集合。通过将用户账户添加到组中,可以更轻松地管理权限。组分为安全组(用于授权访问权限)和通讯组(用于邮件列表等功能)。
用户
Windows 系统存在一些为了特定用途而设置的用户,分别是:SYSTEM(系统)、Trustedinstaller (信任程序模块)、Everyone(所有人)、Creator Owner(创建者)等,这些特殊用户不属于任何用户组,是完全独立的账户。其中SYSTEM拥有整台计算机管理权限的账户,一般操作无法获取与它等价的权限。
这些可以被分组,赋予不同的操作权限。这些组为:管理员组(Administrators)、高权限用户组(Power Users)、普通用户组(Users)、备份操作组(Backup Operators)、文件复制组(Replicator)、来宾用户组(Guests)、身份验证用户组(Authenticated Users)。
域用户
在域控制器中被创建,并且其所有信息都保存在活动目录中。域用户账户位于域的全局组 Domain Users 中,计算机本地用户位于本地的 Users 组中。在域中只要有账号就可以登录到任何一台计算机
机器用户
机器用户也被称作机器账号或计算机账号,所有加入域的主机都会对应一个机器用户,机器用户的用户名以 $ 结尾
组策略
组策略是 Windows 环境下管理账户的一种手段,可以控制用户账户和计算机账户的工作环境,组策略提供了操作系统,应用程序额活动目录中用户设置的集中化管理和配置,包含但不限于以下功能: 账户策略的配置:如设置用户账户的密码长度,复杂程度,密码使用期限,账户锁定策略等。 脚本的配置:如登录和注销,启动和关机脚本的设置 应用程序的安装与删除:用户登录或计算机启动时,自动为用户安装应用,自动修复应用和删除应用。 用户工作环境的配置其他系统设置等