b站视频：https://www.bilibili.com/video/BV1dMUsYsEWv?spm_id_from=333.788.videopod.sections&vd_source=dac214dabdedeffcbfc95ef6133398f2

内网渗透流程

环境准备

• VMware
• 下载不同版本的操作系统：https://msdn.itellyou.cn
• 攻击工具：CobaltStrike和MSF

工作组

工作组介绍

内网

内网通常是指内部的网络，也指局域网，由特定区域内多台计算机互连的封闭网络，在内网中，每台计算机之间可以实现文件管理、应用软件共享和传真通信服务等。其特点具有私有，高速，受控，安全，共享。内网是封闭的，可由办公室内两台计算机组成，也可由一个公司内的大量计算机组成，规模灵活

工作组

在一个大型单位里，可能由成百上千计算机互连组成局域网，为了有效管理这些计算机，将它们进行分组，从而产生了工作组这个概念 。工作组是Windows操作系统中一种简单、对等的网络组织模式，涉及核心是平等、分散、无中心管理。将不同的计算机按一定的分类（比如功能或者部门）分别列入不同的工作组，想要访问某个部门的资源，只要在“网络”里双击该部门的工作组名就可以看到该部门的所有计算机了，相比不分组的情况，这样的情况有序很多（尤其对于大型局域网来说）

加入工作组

以我自己的计算机演示

点击”计算机”然后右击，点击属性，选择域或工作组

在计算机名中点击更改

上面填写要更改的计算机名，下面选择工作组，然后确定，然后重启就好啦

额这里显示灰色是因为在演示截图前就改好了但是没高兴重启，正常步骤改的话不会显示灰色，都是可以点击的

这里的计算机名就相当于每个人的姓名一样给计算机命名，可任意命名

可以在终端查看计算机名字

1

hostname

工作组默认的是WORKGROUP

创建工作组

如果工作组的名称在网络中不存在，那这个命名的工作组就相当于新建了一个工作组（当然暂时就只有当前这台计算机在该工作组内）

在win10虚拟机中演示加入TEST工作组

在计算机名/域更改

命名工作组为TEST

创建成功，然后重启电脑，就是在TEST工作组了

退出工作组

只要将工作组名称改动即可，这个比较简单就不演示了。比如把上述TEST工作组直接改成WORKGROOUP，就退出TEST工作组加入WORKGEOUP工作组了

工作组优缺点

优点

• 方便管理和维护
• 资源分配方便灵活

缺点

• 缺乏集中管理与控制的机制
• 没有集中的统一账户管理
• 只适合小规模用户的使用

由于这些缺点，引出了域这个概念，这个视频做了一个很生动的比喻

• 工作组相当于大学上课的座位，不固定，也没有老师管，没有统一的管理机制
• 而域就相当于高中，每个人的座位都被规定了不能自己随意变动，是有统一的管理机制的

域环境

什么是域

域(Domain)是一个有安全边界的计算机合集（安全边界的意思是在两个域中，一个域中的用户无法发个文另一个域中的资源，就是两边默认是不相通的）。

与工作组相比，域的安全管理控制机制更加严格，用户想要访问域内的资源，必须以合法的身份登录域，而用户对域内的资源拥有的全取决于用户在域内的身份

• 每个域都存在域名：abc.com（以上图为例）

• 加入域需要通过管理员DC（Domain Controller，也就是域控制器）审核，DC也会对域中的计算机进行管理

• 一般会有一个备份DC，在DC无法正常工作期间可作为临时DC来进行管理，通常叫做“额外域控制器”或“辅助域控制器”

单域和多域

单域

通常，在一个地理位置固定的小公司里，建立一个域就可以满足需求。所有用户、计算机、服务器和资源都归属于同一个域，且通常由一个或多个域控制器集中管理。在一个域内一般要有至少两台域服务器，一台作为DC，一台作为备份DC。

示例：

• 三个DC都是abc.com域的域控制器。它们之间通过复制保持数据库同步
• 北京的用户123@abc.com和广州的用户456@abc.com属于同一个域

多域

多域就是多个域环境，每个域都有自己的DC

当一个组织、公司规模逐渐扩大，变得庞大，结构复杂、有业务隔离需求时，就会采用多域，每个都有自己不同的域名如abc.com,xyz.com

父域和子域

处于管理及其他需求，需要在网络中划分多个域，第一个域称为父域，各部分域为该域的子域。

• 子域也可以作为父域分出子域，分出的子域同时也是原父域的子域
• 子域与父域可以相互访问

域树和域森林

域树

域树是多个域通过建立信任关系组成的集合，也就是由多个父域和子域组成的集合。一个域管理员只能管理本域，不能访问或者管理其他域。如果两个域之间需要互相访问，则需要简介信任关系，信任关系就是不同域的桥梁。域树内的父域和子域不但可以按照需要互相管理，还可以跨网络分配文件和打印机等设备以及资源，从而在不同的域之间实现网络资源的共享与管理、通信及数据传输

域森林

域森林是指多个域树通过建立信任关系组成的集合。例如在一个公司兼并场景中某公司使用域树abc.com，被兼并的公司本来有自己的域树abc.net，域树abc.net无法挂在域树abc.com下。所以，域树abc.com与域树abc.net之间需要通过建立信任关系来构成域森林。通过域树之间的信任关系，可以管理和使用整个域森林中的资源，并保留被兼并公司自身原有的特性

DC域控

通常在一个地理位置固定的小公司里，建立一个域控就可以满足需求，在一个域控内，一般要由至少两台域服务器，一台作为DC，一台作为备份DC

DC对域内计算机有绝对管理权

所谓”擒贼先擒王”，我们要进行内网渗透或者攻击一个域时，最终目标是攻击DC，只要将其控制，这个域的所有电脑也就都可以控制下来

域环境搭建

安装虚拟机

搭建三个主机，第一个作为域控，其他两个作为域内主机

下载地址：https://msdn.itellyou.cn

Windows Server 2012 R2（域控）

将下载好的.ios文件导入虚拟机中

新建一个虚拟机

这里选择怪怪下载好的.ios文件

填写密钥，在网上找了一个

1

78NJB-CB3WX-GWPCM-VMKG7-94QWW

这里的全名最好写成Administrator，密码也尽量设置的复杂一点

之后就根据个人要求或者默认填写就好

点击完成后会自动启动，这里选择第二个带GUI的

最后等一段时间就ok了，就是会有点卡

Windows Server 2008 R2（域内主机）

前面和之前的安装步骤一样

这里的密钥同样是去网上找

1

6TPJF-RBVHG-WBW2R-86QPH-6RTM4

Windows Server 2003 R2（域内主机）

前面的导入步骤和之前一样

打开后按回车

然后这里按F8

然后下⾯这⾥先按 “C” 键

然后都是按回车

这里利用上下箭头选第一个，然后按回车

然后等待安装

安装好了之后这里直接选择下一步

这里就随便填

这里依旧需要密钥

1

JCDP9-7RTKQ-FYD4J-XX3MV-FR8YB

然后这里就默认就行

这里随便填，但密码最好复杂一点

默认设置

这里直接默认典型设置就好

默认设置

这里按要求按Ctrl+Alt+Delete

这里填自己设置的密码即可

这个页面下拉点完成就ok了

安装成功

搭建DC域控

设置服务器

需要将ip如下改成固定的

以下是对Windows Server 2012 R2（域控）进行设置

这是初始随机分配的IP

点击“打开网络和共享中心”

点击Ethernet0

点击属性

点击IPv4这个，然后点击属性

选择 ” 使⽤下⾯的 IP 地址 “ ，然后设置：

• IP 地址： 192.168.41.10
• ⼦⽹掩码：默认的 255.255.255.0
• 默认⽹关：和之前设置的⼀样是 192.168.41.2
• ⾸选 DNS 服务器：和设置的 IP 地址⼀样是 192.168.41.10

这样就配置好了

其他两个也一样

更改计算机名

可做可不做吧，改了就好看点

对Windows Serve 2012 R2（域控）进行演示

找到计算机右击选择属性，更改设置

这里是把2012的作为域控制，名字设为DC，工作组暂时选择默认

安装域控制器和DNS服务

在Windows Serve 2012 R2服务器上安装域控制器和DNS服务

点击这个服务器面板控制（登录后会自动弹出的

点击添加角色和功能

点击“下一步”

点击“下一步”

这里可以看到设置的计算机名称和IP地址，点击“下一步”

选择Active Directory域服务和DNS服务器，之后全部默认下一步然后点击安装

安装成功，如果这里有报错的话是因为密码策略，密码过于薄弱了，把密码改复杂顶啊就好了

升级服务器

点击这个小旗子一样的按钮，会有将此服务器提升为域控制器

选择添加新林，根域名可以随便设置，这里就设置为abc.com了，然后点击“下一步”

然后会有输入DSRM密码的界面，主要用于恢复还原的时候用到

这个密码大概用不到，所以就随便设置一个

之后就默认下一步

这个域名等一会会自动填好

这里检测完之后点安装就行

这里安装好之后就会提示重启

重启之后就会看到Administrator前面加上了ABC，这个就是加入域之后显示的

登录后就可以在这里看到已有的服务

域内主机搭建

Windows Server 2008 R2（域内主机）

先设置Windows Server 2008 R2（域内主机），点击右下角小图标，选择”打开网络和共享中心”

点击本地连接

点击属性

选择IPv4

选择 ” 使⽤下⾯的 IP 地址 “

• IP 地址： 192.168.41.20
• ⼦⽹掩码：默认补充的 255.255.255.0
• 默认⽹关：之前设置的 192.168.41.2
• ⾸选 DNS 服务器：和域控的 IP 地址⼀样是 192.168.41.10
• 备⽤ DNS 服务器：可设置，可不设置，设置可以填 114.114.114.114

更改计算机名称，右击“计算机”，点击“属性”，然后点击更改

还有就是网络连接一定要用NAT模式

重启好后可以ping一下域名或者IP地址检查一下

1
2

ping abc.com
ping 192.168.41.20

Windows Serve 2003 R2（域内主机）

这是另一个域内主机，和上一个差不多

左下⻆的 “ 开始 ” => 控制⾯板 => ⽹络连接 => 本地连接

点击“属性”

选择”Internet协议（TCP/IP）“

双击进入后选择

• 选择 ” 使⽤下⾯的 IP 地址 “ ，然后设置：
• IP 地址： 192.168.41.30
• ⼦⽹掩码：默认补充的 255.255.255.0
• 默认⽹关：之前设置的 192.168.41.2
• ⾸选 DNS 服务器：和域控的 IP 地址⼀样是 192.168.41.10
• 备⽤ DNS 服务器：可设置，可不设置，设置可以填 114.114.114.114

然后可以在终端查看IP

还有就是网络一定要用NAT模式的

然后修改计算机名

开始——>右击”我的电脑“——>属性

点击”计算机名”——>”更改”

然后ping一下测试一下

加入域和退出域

加入域

在域控制器Windows Serve 2012 R2上创建域控制器账户

要想加入域，首先要在域内有一个账户，也就是要在域控制器内添加一个账户

先在Windows Serve 2012 R2中创建一个新的用户

点击右下角

选择“管理工具”

找到“Active Directory 用户和计算机”

在abc.com中找到Users文件

选择“新建”——>”用户”，命名，然后点击下一步

选择“密码永不过时”，这样方便一点

然后点击“完成”

然后这个普通用户就创建好了

将该用户加入到Windows Serve 2008 R2

在Windows Serve 2008 R2中将用户加入到域环境中

点击“开始”——>“计算机”——>“属性”

点击“更改设置“

点击”更改“

选择”域“，填入”abc.com“

这里会弹出一个填写用户名和密码的窗口，这里要的是有权限加入该域的账户，也就是Windows Serve 2012 R2（域控制器）的账户密码（这里就是和工作组的区别，不能任意的加入，要有一定的权限认证）

加入域之后可以用域内身份登录，也可以用本地身份登录

可以看到这里是本地账号

点击“切换用户”，用域内身份登录

在终端执行命令

1
2

whoami
hostname

现在是abc域下的ZS用户

将该用户加入到Windows Serve 2003 R2

点击“开始”——>右击“我的电脑”——>“属性”

选择“计算机名”——>“更改”

选择”域”，填写abc.com

同样这里需要加入的权限账户，点击确定后重启

然后接下来就是在Windows Serve 2012 R2中添加新的用户LS

步骤与之前的一模一样

添加完成后在Windows Serve 2003 R2中可以用域内身份LS登录

点击“选项”

选择登录到ABC

退出域

操作比较简单就不演示了

同样点击“开始”——>右击“我的电脑”或者是“计算机”——>“属性”——>“更改设置”

这是他会有一个弹窗要求输入管理员密码，因为现在是域内账户，没有退出域的权限，只有域控制器有这个权限，所以要输入域控制器的账户密码才能退出域

输入账户密码后，将选项选到工作组就能退出域了

这里补充一下2008、2003两个的VMTools的适配

下载地址：https://packages.vmware.com/tools/releases/10.0.0/windows/VMware-tools-windows-10.0.0-3000743.iso

右击选中“设置“

选择”CD/DVD“

选择下载好的iso文件

点击”开始“——>”我的电脑“——>点击”VMware Tools“

这个需要管理员权限安装，会有弹窗，输入密码就行

点击下一步

选择这个典型安装，然后点击下一步，就能安装了

然后重启之后就相当舒适了

AD活动目录介绍

活动目录介绍

活动目录（Active Directory，AD）是指域环境中提供目录服务的组件，目录用于存储有关网络对象（例如用户、组、计算机、共享资源、打印机和联系人等）的信息。目录服务是指帮助用户快速、准确地从目录中找到其所需要地信息地服务。活动目录实现了目录服务，为企业提供了网络环境地集中式管理机制，同时AD还能够统一的修改密码，统一安装部署等

AD不止在域控制器有，可以将AD单独安装在域内成员内，利用域管账号登录也可以登录AD

在AD中可以移动用户，也可以禁用用户，一旦禁用某个用户任何用户都不能登录这台电脑

组织单元介绍

组织单元（OU）是域中包含的一类目录对象如用户、计算机和组、文件与打印机等资源，是一个容器，可以在OU上部署组策略，可根据每个企业、单位的不同需求进行创建

了解一下每个组织单元存放的信息

• Builtin：存放用户的组

• Computer：存放域内计算机

• Domain Controllers：域控制器

• Users：存放用户信息

创建组织单元

右击“abc.com”——>“新建”——>“组织单位”

可以继续在创建好的组织单位中添加用户，也可以在创建好的组织单位中添加组织单位

域信任关系

域信任关系解读

域是安全边界，若无信任关系，域用户账户只能在本域内使用。信任关系就相当于在两个域之间架起了一个桥梁，可以使得域账户能够跨域使用

比如：现在有两个域，一个是abc.com，另一个是xyz.com

若abc.com与xyz.com之间存在信任关系，那么abc.com中的账户就可以登录在xyz.com这个域中。若在渗透测试中，控制了abc.com这个域并发现两个域之间存在信任关系，那么同样可以通过abc.com的域中的账户控制xyz.com中的账户

信任关系分为可传递的与不可传递的

可传递信任关系

如果A域和B域之间，B域和C域之间的信任关系都是可传递的，那么A域和C域之间就自动创建了信任关系，即如果A中资源可访问B中资源，B中资源可访问C中资源，那么A中资源也就可以访问C中资源

不可传递信任关系

如果A域和B域之间的信任是不可传递的，或者B域和C域之间的信任是不可传递的，那么A域和C域之间不会自动创建信任关系。即A域中的资源可以访问B域但这个信任关系不可传递，或者B域和C域同理，那么A域的资源就不能访问C域的资源