渗透测试之地基内网篇：域森林中横向移动（上） – 作者:dayuxiyou

系列文章

专辑：渗透测试之地基篇

简介

渗透测试-地基篇

该篇章目的是重新牢固地基，加强每日训练操作的笔记，在记录地基笔记中会有很多跳跃性思维的操作和方式方法，望大家能共同加油学到东西。

请注意：

本文仅用于技术讨论与研究，对于所有笔记中复现的这些终端或者服务器，都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，本站及作者概不负责。

名言：

你对这行的兴趣，决定你在这行的成就！

一、前言

渗透测试人员需谨记《网络安全法》，根据《网络安全法》所示，未经授权的渗透测试都是不合法的，不管是出于何种目的。红队渗透人员在进行渗透期间，渗透测试的行为和项目必须在被渗透方授予权限可渗透后，才可进行渗透测试操作。

如今有一家dayu公司，需要对自己的业务以及整体的内网框架体系进行隐患挖掘，授予权限我进行对dayu公司的渗透测试操作，在签署了双方的《渗透测试授权书》后，我开始了对dayu公司的渗透之旅。

跳开思维讲，我此篇内容是内网渗透篇章，通过我的专栏：

社工钓鱼 -> 免杀过全杀软 -> 内网渗透 

那么我通过了社工钓鱼的各种方式，将钓鱼文件进行免杀后，成功钓鱼到了该公司外围人员计算机，并控制了该计算机权限获得shell，并成功登录对方电脑。

通过前期对域用户大量的信息收集，画出了相对应的简单网络拓扑图，下一步需要进攻子域控制器，思路如下：

域普通用户 -> 子域控制器 -> 父域控制器 ->辅域控制器

通过该思路进攻即可，还有另外一条思路：

域普通用户 -> 10.10.21.0/24二级区域 -> 父子域控制器 -> 横向延伸

渗透人员最爱系统之一有kali，还有各类windows集成的武器库系统，通过上期隐藏通信隧道技术已经在内网域森林中建立了一级隧道，并在上期权限提升中将普通用户权限提升为system最高权限后，今天我们就来对域森林进行横向移动，总结实战中会遇到的横向移动各种方法，利用这些方法在内网中遨游！

不会内网横向移动技术，就无法对内网机器进行进一步的渗透！！

二、环境介绍

目前信息收集获得的网络情况：（模拟环境）
拓扑图简介

为了更好的演示接下来的渗透和回看总拓扑图公司搭建环境情况：

单篇：渗透测试之地基内网篇：域森林中父子域和辅域用户搭建分析

接下来将演示分析内网中的横向移动各种方法，利用该方法在域森林中旅行！

三、域內横向移动分析

域内横向移动技术是在复杂的内网攻击中被广泛使用的一种技术，尤其是在高级持续威胁（Advanced Persistent Threats，APT）中。攻击者会利用该技术，以被攻陷的系统为跳板，访问其他域内主机，扩大资产范围（包括跳板机器中的文档和存储的凭证，以及通过跳板机器连接的数据库、域控制器或其他重要资产)。

通过此类攻击手段，攻击者最终可能获取域控制器的访问权限，甚至完全控制基于Windows操作系统的基础设施和与业务相关的关键账户。因此，必须使用强口令来保护特权用户不被用于横向移动攻击，从而避免域内其他机器沦陷。建议系统管理员定期修改密码，从而使攻击者获取的权限失效。

那么在攻击域森林渗透测试中，拿到目标计算机的用户明文密码或者NTLM Hash后，可以通过PTH (Pass the Hash，凭据传递）的方法，将散列值或明文密码传送到目标机器中进行验证。与目标机器建立连接后，可以使用相关方法在远程Windows操作系统中执行命令。在多层代理环境中进行渗透测试时，由于网络条件较差，无法使用图形化界面连接远程主机。此时，可以使用命令行的方式连接远程主机（最好使用Windows自带的方法对远程目标系统进行命令行下的连接操作）并执行相关命令。

通过以上简单的铺垫了解后，实战中由于网络偏差，无法进行3389等远程图形化界面操作，尽可能的也别远程登录对方桌面进行操作，接下来将带大家在域森林内网大型环境中进行各种内网横向移动实战操作演示！

四、IPC横向移动

IPC( Internet Process Connection）共享”命名管道”的资源，是为了实现进程间通信而开放的命名管道。IPC 可以通过验证用户名和密码获得相应的权限，通常在远程管理计算机和查看计算机的共享资源时使用。

通过ipc，可以与目标机器建立连接。利用这个连接，不仅可以访问目标机器中的文件，进行上传、下载等操作，还可以在目标机器上运行其他命令，以获取目标机器的目录结构、用户列表等信息。

1、建立IPC通道条件

1）被攻击方开启了139、445端

IPC可以实现远程登录及对默认共享资源的访问，而139端口的开启表示NetBIOS协议的应用。通过139、445 （Window 2000）端口，可以实现对共享文件/打印机的访问。因此，一般来讲，IPC需要139、445端口的支持。

2）管理员开启了默认共享

默认共享是为了方便管理员进行远程管理而默认开启的，包括所有的逻辑盘（c$、d$、e$等）和系统目录或 windows(admin$)。通过 ipc$，可以实现对这些默认共享目录的访问。

2、建立IPC横向

1）建立ICP
首先在得知普通域用户名密码的情况下，需要建立一个ipc$输入以下命令：

net use \\目标IP\ipc$ "密码" /user:用户名

net use \\10.10.3.6\ipc$ "QWEasd1234" /user:xiyou1\administrator

2）查询IPC情况

成功和域森林用户建立IPC！

3）建立IPC失败原因总结

1. 用户名或密码错误。

2. 目标没有打开 ipc$默认共享。

3. 不能成功连接目标的139、445端口。

4. 命令输入错误。

4）建立IPC常见错误号

1. 错误号5:拒绝访问。

2. 错误号51: Windows 无法找到网络路径,即网络络中存在问题

3. 错误号53:找不到网络路径，包括IP地址错误、目标未开机,目标的 lanmanserver服务未启动、目标有防火墙（端口过滤)。

4. 错误号67:找不到网络名，包括 lanmanworkstation服务未启动、ipc$ 已被删除。

5. 错误号1219:提供的

来源：freebuf.com 2021-04-20 23:48:30 by: dayuxiyou