正文

干货!从0学习内网前置知识、权限、认证机制和协议解读

admin
admin V管理员 /0 评论 /93 阅读
1003
此篇文章发布距今已超过119天,您需要注意文章的内容或图片是否可用!

0 前言

最近越来越感觉到自己的局限性,掌握的无非几种测试手法,我自己测都测腻了。开始一边看文章挖src,一边学习一些内网的点,拓宽一下知识面,增加自己一点竞争优势。此文用来记录自己内网从0到1的所学所记。

1 前置知识

1.1 工作组

工作组概念,如何创建,加入,推出工作组。 简单来说工作组可以类比成大学公共课教室,大家可以随意进出,并且坐哪都可以。缺少整体的管理。 附网上优秀文章:https://blog.csdn.net/weixin_42380348/article/details/89405000

1.2 域概念

包括单域和多域,父域和子域,域树和域森林,DC域(域控制器),根据网上自己搭建自己的域环境进行实验 那这个域跟工作组就不一样,可以理解为高中,有统一的管理,你进教室要打报告,老师让你进来你才能进来。同样进域你要申请,域管理员同意你才能进来。 附优秀文章链接:https://blog.csdn.net/qq_58606689/article/details/119866854

1.3 AD活动目录

知道何为AD(活动目录)和OU(组织单元),并掌握如何创建。 目录用于存储有关网络对象(例如用户、组、计算机、共享资源、打印机和联系人等)的信息。目录服务是指帮助用户快速、准确地从目录中找到其所需要的信息的服务。活动目录实现了 目录服务,为企业提供了网络环境的集中式管理机制 活动目录的逻辑结构包括前面讲过的组织单元(OU)、域、域树、域森林。域树内的所有域 共享一个活动目录,这个活动目录内的数据分散存储在各个域中,且每个域只存储该域内的数据。 附文章链接: https://www.cnblogs.com/alwaysz/articles/18265023

1.4 域信任关系

主要是单双向信任关系和内外部信任关系,掌握这个信任关系是如何传递的 这个顾名思义哈 单向信任: 这表示在域 A 和域 B 之间的单向信任中, 1、域 A 中的用户可以访问域 B 中的资源。 2、域 B 中的用户无法访问域 A 中的资源。 单向信任可以是不可传递信任,也可以是可传递信任,这取决于创建的信任类型 双向信任: 林(域树)中的所有域信任都是双向的、可传递的信任。创建新的子域时,系统将在新的子域 和父域之间自动创建双向可传递信任。在双向信任中,域 A 信任域 B,并且域 B 信任域 A。这 表示可以在两个域之间双向传递身份验证请求。 https://blog.51cto.com/yuelei/175728

2 权限解读

2.1 工作组

电脑的身份就是两种,第一种是本地工作,第二种是域,我们默认的电脑都是本地工作 组的形式。 本地工作组的电脑,所有的账号密码,群组等都存放在本地的电脑文件中,不管电脑有 没有网络,只要能开机,我们输入本地的账号密码都可以登录到电脑, 我们正常自己用的都是本地工作,现在我在公司,公司发给我的电脑就是域用户。

2.2 最高管理员权限(administrator)

在操作系统中,Administrator账户扮演着系统管理者的角色,负责系统的维护、更新和安全管理。 这个账户具有最高权限,可以访问系统中的所有文件和设置,安装或卸载程序,以及修改其他用户的权限。 1、Administrator用户在家庭版的电脑中是属于禁用的状态,在专业版中属于开启的状态,在server机器 中属于开启 2、Administrator用户的SID 最后一位是500 3、Administrator 用户默认在administrators组中

2.3 普通管理员权限

本地一般管理员就是加入了administratorts组的管理员但不是administrator用户,比如admin 因为存在UAC认证,有些操作本地普通管理员是使用不了的,必须右键以管理员身份运行

2.4 普通用户

本地普通用户,就是在windows电脑中本地新建的普通用户。没有管理员的权限,一般很多操作 执行不了,当我们进行高权限的操作时候会出现以下的认证(需要输入管理员的账号和密码才可以)

2.5 UAC认证

用户帐户控制 (UAC) 是一项 Windows 安全功能,旨在保护操作系统免受未经授权的更改。 当对系统的更改需要管理员级权限时,UAC 会通知用户,从而让用户有机会批准或拒绝更改。 UAC 通过限制恶意代码拥有的以管理员权限执行的访问权限来提高 Windows 设备的安全性。

https://blog.csdn.net/weixin_43742894/article/details/105674459

2.6 系统最高权限(system)

很多人以为administrator就是最高权限了,其实system才是 很多朋友一直不明白administrator和System的区别。 system是系统的权限,至少一些注册表的值administrator都读不了,而拥有system权限却可以做到。 比如:Windows系统的账号信息,是存放在HKEY_LOCAL_MACHINESAM里的,但是直接打开注册表想去修改却并不能打开它,哪怕你是管理员权限都不行。 因为为了安全性考虑,必须由“SYSTEM”权限才能访问。

2.7 令牌窃取工具incognito提权到system

加入说我现在控制了一台电脑的本地用户,可以看到 我这个administrator是本地用户,本地用户权限是没有办法访问域内有多少用户

那这个时候,我们想查询域管理员,查询域内多少个组,我们就可以拿到这个system权限,代表机器用户,去向域里面查询 进入到这个文件所在目录里面,我这里在桌面上所以:

cd Desktopincognito

在incognito目录下: 先列出来有多少令牌

Incognito.exe list_tokens -u

比如这里我们要拿到system权限,并且打开cmd程序,就要用这个system令牌

Incognito.exe execute -c "NT AUTHORITYSYSTEM" cmd

可以看到已经变成了system权限,并且能查域内用户

3 本地认证

3.1 本地认证概述

本地认证的意思就是,我们的电脑上存储着自己的账号密码,无论电脑是否联网,只 要能开机,就可以输入账号密码登录到电脑中,工作组就是采用本地认证

3.2 本地认证流程

电脑开机会进入一个请输入密码的登录页面,这个页面就是winlogon.exe进程

我们输入明文密码,回车,明文的账号密码会给到Lsass.exe进程,这个Lsass.exe会先在内存中存一份明文的账号密码留作备用,然后再将其进行加密和SAM文件中的密文内容进行对比,对比成功就登录成功,对比失败就登录失败。

3.3 SAM文件详解

SAM文件存储位置:C:windowssystem32config目录下

SAM文件中的密码并不是以明文的形式存在,他是加密后 存储在SAM文件中,Windows操作系统通常使用两种方法对用户的明文密码进行加密处理。一部分为 LM-Hash,另一部分为 NTLM-Hash。在 Windows操作系统中也就是SAM文件中,Hash的结构通常如下: username:RID:LM-HASH:NT-HASH

3.4 LM-HASH加密和NTLM-HASH加密

LM Hash的全名为"LAN Manager Hash",采用的散列加密算法,其本质是DES对称加密。尽管 LM Hash较容易被破解,但为了保证系统的兼容性, Windows只是将LM Hash禁用了(从 Windows vista和 Windows Server2008版本开始, Windows操作系 统默认禁用 LM Hash)。 LM Hash明文密码被限定在14位以内,也就是说,如果要停止使用 LM Hash,将 用户的密码设置为14位以上即可。 如果 LM Hash被禁用了,攻击者通过工具抓取的 LM Hash通常为 “aad3b435b51404eead3b435b51404ee”(表示 LM Hash为空值或被禁用) NTLM Hash是微软为了在提高安全性的同时保证兼容性而设计的散列加密算法。 NTLM Hash是基于MD4加密算法进行加密的。个人版从Windows vista以后,服务器版从 Windows Server 2003以后, Windows操作系统的认证方式均为 NTLM Hash LM-HASH加密流程:

1.密码转换: 将用户的密码转换成全部大写字母。
2.填充密码: 如果密码长度小于14个字符,则在密码末尾添加空格直到长度为14个字符。 如果密码长度超过14个字符,则直接使用前14个字符。
3.分割密码: 将14个字符的密码分为两个7字符的字符串。
4.转换字符串: 每个字符串被视为一个56位的二进制数,其中每个字符转换为相应的ASCII值的二进制形式。
5.生成DES密钥: 每个56位的字符串被分成两组,每组7个字符,转换成二进制后,每组被填充到64位(前面添加一个0)以形成DES密钥。
6.DES加密: 使用每个7字符的字符串生成的DES密钥对以下字符串进行DES加密:“KGS!@#$%”。#CTL{n}这将产生两个8字节???加密结果。
7.连接结果: 将两个8字节的加密结果连接起来,形成16字节的LM-HASH。 NTLM-HASH加密流程:
8.密码转换为UTF-16LE编码 将用户的密码字符串转换为UTF-16LE格式的字节序列。UTF-16LE是一种小端序的Unicode编码,每个Unicode字符使用两个字节表示。
9.应用MD4散列算法
初始化MD4散列算法的内部状态。
将UTF-16LE编码的密码数据作为输入,传递给MD4散列算法。
执行MD4散列算法的多个循环,这些循环包括填充、分块处理和最终的输出。

3.5 QuarksPwDump本地密码抓取

还是进入到QuarksPwDump.exe所在目录:
抓取密码:
QuarksPwDump.exe --dump-hash-local
可以看到格式为: username:RID:LM-HASH:NT-HASH LM-HASH值均为“aad3b435b51404eead3b435b51404ee”(表示 LM Hash为空值或被禁用),后面的NTLM-HASH即为密文密码。

3.6 mimikatz抓取密码

运行mimikatz
mimikatz.exe
提权到debug权限:
privilege::debug
命令通过各种各样的方式抓取密码
sekurlsa::logonPasswords

4 网络认证

4.1 网络认证概述

本地认证肯定是不能满足日常办公的,在平时的测试中,经常会碰到处于工作组的计算机,主机A想要访问主机B上的资源,就要向 主机B发送一个存在于主机B上的一个账户,主机B接收以后会在本地进行验证,如果验证成功,才会允 许主机A进行相应的访问。

4.2 NTLM协议挑战响应认证机制

NTLM协议是一种基于挑战(Chalenge)/响应(Response)认证机制,仅支持windows网络认证的协议。 它主要分为协商、质询和验证三步骤:
协商:确定双方传输协议版本等各种信息。
质询:挑战(chalenge)/响应(response)认证机制。
验证:对质询的最后一个结果进行验证。

4.3 wireshark抓包流量分析NTLM协议

因为是在虚拟机上面演示,我启动的都是在VMnet8这个网卡,所以这里抓包选择抓这个网卡。
可以看到我开启的这两台Win8的IP地址,并且是能够通的
首先进行网络认证
net use \IP /u:账号名 密码
在认证的时候抓包,wireshark一共有十个SMB或者SMB2的包
前四个数据包,这个前四个数据包主要是用来协商的,没啥太大的用处
第五个数据包是,用户启动身份的验证包,和一些规则,主要是flag里面有相关规则
第六个数据包是,有一些包含同意的列表和最重要的challenge
第七个数据包是发送Response的数据包,还包含域名,账户名的相关信息
第8个数据包就是返回结果,成功就是Session Setup Response,失败就是ERROR
最后两个包表示建立了网络认证

4.4 Inveigh 抓Net-NTLM v2 Hash

进入powershell命令行 导入ps1脚本:
Import-Module .Inveigh.ps1
可以看到我在导入脚本的时候报错了,这个时候就需要chat一下了
要解决这个问题,你需要更改PowerScript的执行策略。可以通过以下步骤来调整执行策略:
更改执行策略 在PowerShell中输入以下命令来查看当前的执行策略:
Get-ExecutionPolicy
如果显示Restricted或AllSigned,则需要更改执行策略。可以将其更改为RemoteSigned或Unrestricted:
Incognito.exe list_tokens -u   
0
或者:
Incognito.exe list_tokens -u   
1
更改执行策略后,PowerShell会提示你是否确认更改。输入Y或Yes来确认。 这个时候就可以成功导入脚本
执行命令行抓取Net-NTLM v2 Hash:
Incognito.exe list_tokens -u   
2
再次进行认证 抓到Net-NTLM v2 Hash,格式为:
username::domain:challenge:NTProofStr :blob

5 域Kerberos协议

####5.1 Kerberos协议概述 Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下, Kerberos 作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。

5.2 kerberos协议角色组成

kerberos协议中也存在三个角色,分别是 1.客户端(client):发送请求的一方 2.服务端(Server):接收请求的一方 3.密钥分发中心(Key Distribution Center,KDC),而密钥分发中心一般又分为两部分,分别是:
AS(Authentication Server):认证服务器 专门用来认证客户端的身份并发放客户用于访问 TGS的TGT(票据授予票据)
TGS(Ticket Granting Ticket):票据授予服务器 用来发放整个认证过程以及客户端访问服务 端时所需的服务授予票据(Ticket)

5.3 kerberos协议认证流程

第一步:客户端请求票据许可服务(TGS)票据 1.客户端请求:
客户端向Kerberos服务器中的认证服务器(AS)发送一个初始票据请求,这个请求包括客户端的用户名和一个明文的密码(在客户端被加密,但通常不是在传输过程中)。
2.认证服务器响应:
认证服务器验证客户端的用户名和密码。
如果验证成功,认证服务器会生成一个TGS票据和一个会话密钥,TGS票据使用KDC(Key Distribution Center,密钥分发中心)与客户端共享的主密钥进行加密,会话密钥则用于加密TGS票据。
认证服务器将加密的TGS票据和会话密钥发送给客户端。
第二步:客户端使用TGS票据请求服务票据 1.客户端请求:
客户端需要访问特定服务时,会使用TGS票据和会话密钥向Kerberos服务器中的票据许可服务(TGS)发送服务票据请求。请求中包含TGS票据、所请求服务的服务器名称以及一个 Authenticator(认证器),认证器包含客户端信息和时间戳,使用会话密钥加密。
2.票据许可服务响应:
TGS验证TGS票据和解密的Authenticator。
如果验证成功,TGS会生成一个服务票据,服务票据包含客户端的用户名、客户端网络地址、时间戳和服务会话密钥。服务票据和服务会话密钥使用该服务的服务器与KDC共享的主密钥进行加密。
TGS将加密的服务票据和服务会话密钥发送给客户端。 第三步:客户端使用服务票据请求服务
1.客户端请求:
客户端使用服务票据向服务服务器发送服务请求。请求包含服务票据和一个新的Authenticator,Authenticator使用服务会话密钥加密。
2.服务服务器响应:
服务服务器验证服务票据和解密的Authenticator。
如果验证成功,服务服务器将提供服务,并向客户端发送一个使用服务会话密钥加密的确认消息。
推荐此文,讲的很通俗易懂:https://cloud.tencent.com/developer/article/1496451

5.4 kekeo申请TGT和ST

先看一下我用的两台win8虚拟机,我现在要用win8-01的电脑去访问wein8-02的电脑,要走Kerberos协议认证
进入到工具所在目录,启动工具:
Incognito.exe list_tokens -u   
3
申请TGT
Incognito.exe list_tokens -u   
4
申请ST
Incognito.exe list_tokens -u   
5

5.5 利用Kekeo远程访问测试:

先看一下我用的两台win8虚拟机,我现在要用win8-01(zs-pc)的电脑去访问wein8-02(ls-pc)的电脑,要走Kerberos协议认证,声明一下这俩都加在了abc.com这同一个域里面
我登录ZS的电脑,然后使用administrator域管的账号进行申请票据,因为如果是使用的ZS或者WW的账号,就算票据申请了,也是没有权限访问对方电脑的。(权限太小) 可以看到我现在是没有权限访问的LS-PC的c盘目录的 清除票据:
Incognito.exe list_tokens -u   
6
查看票据缓存:
Incognito.exe list_tokens -u   
7
申请域管理员的TGT票据:
Incognito.exe list_tokens -u   
8
(在这里输入密码hash值也行,就是hash传递攻击了)
申请ST并且注入内存(/ptt)
Incognito.exe list_tokens -u   
9
可以看到内存已经有了administrator访问ls-pc的cifs服务(共享目录)的票据
成功访问到ls的电脑!!

6 感想

师傅们这是一个刚学习内网的小白两个周的知识学习和总结整理,说实话不知道出现了多少非常痛苦的报错和不明所以的失败,接下来继续沉淀,继续学习内网的知识并且认真详细记录下来,并且分享给师傅们,相信师傅们看此文也会感慨,怎么会有人写的这么详细。


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下