书名:域渗透实战指南
ISBN:978-7-115-67512-5
本书由人民邮电出版社发行数字版。版权所有,侵权必究。
您购买的人民邮电出版社电子书仅供您个人使用,未经授权,不得以任何方式复制和传播本书内容。
我们愿意相信读者具有这样的良知和觉悟,与我们共同保护知识产权。
如果购买者有侵权行为,我们可能对该用户实施包括但不限于关闭该帐号等维权措施,并可能追究法律责任。
主 编 苗春雨 章正宇 叶雷鹏
副 主 编 任一支 王 伦 吴鸣旦
责任编辑 单瑞婷
人民邮电出版社出版发行 北京市丰台区成寿寺路11号
邮编 100164 电子邮件 315@ptpress.com.cn
网址 http://www.ptpress.com.cn
读者服务热线:(010)81055410
反盗版热线:(010)81055315
本书致力于阐述域环境下的渗透测试技术,内容包括域环境的基础知识、环境搭建、历史漏洞利用以及高级渗透技巧等,旨在从实践角度出发,通过丰富的实战案例,帮助读者掌握并应用所学知识。
本书分为3个部分,共8章。第1部分包括第1章和第2章,重点介绍域环境的整体架构搭建流程和域渗透过程中常用的工具,帮助读者奠定坚实的实践基础。第2部分由第3~5章组成,详细探讨域环境中的3种核心协议—— NTLM、LDAP和Kerberos,分析它们在域渗透中的关键作用,并从渗透测试的视角出发,探讨这3种协议存在的缺陷及其对应的利用方法。第3部分由第6~8章组成,专注于介绍域环境中的服务关系,例如Active Directory证书服务、域信任等,并深入剖析近年来曝光的漏洞的原理及利用方法,为读者提供宝贵的网络安全实战经验。
本书适合已经初步掌握渗透测试、协议分析知识,并对渗透流程有一定理解的高校学生、教师和安全行业从业者阅读和实践。本书助力读者掌握高级域渗透技术,可作为企业入职培训教材或高校教学参考书。
近年来,随着网络与信息化技术在全国范围内的飞速发展,网络安全问题逐渐成为公众关注的焦点。尽管目前市场上关于网络安全技术的专业图书数量有所增加,但仍然存在不足,尤其是与域渗透领域相关的图书更是屈指可数。域环境作为现代企业管理架构的核心,实现了对用户账户、计算机、打印机以及员工等资源的集中管理与权限控制。一旦这样一个承载企业核心数据与业务的关键环境,遭受恶意入侵而导致数据泄露或业务中断,就将给企业造成无法估量的损失。
因此,掌握域渗透技术,从攻击者的视角深入分析域环境中的安全漏洞与潜在风险,对于加强企业网络安全防御具有至关重要的意义。本书致力于通过全面而系统地阐述域渗透相关技术、方法和案例,帮助读者深入理解域环境的安全挑战及应对策略,进而为企业构建更坚固的网络安全防线提供有力支持。本书内容涉及域渗透的各个层面,从基础知识到环境搭建,再到委派攻击和跨域攻击等高级技巧,通过仿真案例剖析域渗透,力求从实践角度出发,帮助读者掌握域渗透各个过程中需要应用的知识。
本书共8章,具体内容如下。
第1章详细阐述搭建域环境的步骤,并引导读者搭建包含两个域森林的复杂域环境,以高度仿真的方式模拟大型企业的域环境。
第2章对当前网络上广泛使用的域渗透工具进行介绍,包括Mimikatz、Kekeo、Rubeus、impacket、Certipy、PowerView等。
第3章专注于NTLM认证协议,从数据包分析的角度深入浅出地解释NTLM认证流程及其技术缺陷。
第4章深入探讨LDAP协议,涵盖Active Directory、Windows组、用户与权限等众多方面的内容。
第5章聚焦于Kerberos协议,以Kerberos认证流程为核心,通过数据包分析揭示3个认证步骤,并探讨其中涉及的域渗透技术和漏洞利用方法。
第6章详述在域环境下Active Directory证书服务的工作机制以及由此引发的安全问题。
第7章探讨域信任,主要阐述如何利用域信任关系进行跨域攻击。
第8章详细阐述2014—2022年出现的危害较大的域内漏洞,并深入介绍其原理与复现方法,从而揭示这些漏洞的危害性。
本书的读者对象是已经初步掌握渗透测试、协议分析知识,并对渗透流程有一定理解的高校学生、教师和安全行业从业者。本书可作为企业入职培训或高校教学参考书。
渗透测试是一项高风险的技术活动,本书仅可作为学习资料使用。读者学习渗透测试技术时敬请严格遵守相关法律法规,不得在实际工作环境中进行模拟实验操作,不得以表现或炫耀技术为目的攻击或渗透现有网络,不得将渗透测试相关技术用于任何非法用途!我们特别强调,根据《中华人民共和国刑法》第二百八十六条,违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。因此,读者在学习和应用渗透测试技术时,务必遵守法律法规,切勿从事任何违法行为。确保自身技术应用的合法性,是维护网络安全与个人安全的重要保障。读者需谨慎行事,共同营造良好的网络环境,共同维护网络安全。
图书出版是一个非常艰巨的任务,一本成功出版的图书是很多人共同努力的结果。
感谢数字人才创研院的吴鸣旦院长、樊睿院长的组织与支持。
感谢夏玮、黄逸斌、厉智豪、郑毓波、刘源源、曾飞腾为本书提供的平台支持。
感谢恒星实验室的每一位小伙伴——王伦、王敏昶、阮奂斌、刘美辰、李小霜、李肇、陆淼波、金祥成、郑宇、赵今、赵忠贤、黄章清、韩熊燕、舒钟源(按姓氏笔画排序),感谢大家在本书写作过程中的辛勤付出。
特别感谢人民邮电出版社的编辑团队,在他们的帮助和指导下,本书才得以与大家见面。
最后,由衷地感谢每一位在这一路上相信我们、给予我们支持和帮助的人。
笔者
2025年5月
苗春雨,博士,杭州安恒信息技术股份有限公司(简称“安恒信息”)首席人才官、高级副总裁、数字人才创研院院长,安恒信息国家级博士后科研工作站企业博士后导师。中国网络空间安全人才教育联盟专职委员,工业信息安全产业发展联盟人才促进工作组副组长。拥有15年以上网络安全从业经历,目前的研究兴趣主要集中于网络安全防护体系、泛在物联网安全,培养实战型人才,主持和参与国家级、省部级科研项目6项,主编教材和专著8本,主导开发网络安全演训产品5款,获得发明专利和软件著作权30余项,发表学术论文50余篇。荣获中国产学研合作促进会产学合作创新奖、教育部网络空间安全教指委产学合作优秀案例一等奖、新安盟金石工匠奖等多个奖项。
章正宇,安恒信息数字人才创研院高级安全研究工程师,主要从事内网渗透、域渗透、免杀方向的研究和创新工作。参与编撰了《安全实战之渗透测试》。荣获“浙江省技术能手”“杭州市技术能手”、2023年全国网络安全技能大赛二等奖等荣誉。持有CCRC CSERE、CSE、CCSK、OSCE3/OSEP/OSWE/OSED/OSCP等系列证书。
叶雷鹏,安恒信息数字人才创研院教研部经理、恒星实验室负责人。杭州市叶雷鹏网络与信息安全管理技能大师工作室领衔人。荣获“全国优秀共青团员”“浙江工匠”“浙江省技术能手”“浙江省青年岗位能手”等称号。曾受邀参加国家一类、二类职业技能竞赛命题工作,多次带队参与各级攻防演练、竞赛,并取得优异成绩。
任一支,博士,教授,博士生导师,杭州电子科技大学网络空间安全学院(浙江保密学院)副院长,网络空间安全省级实验教学示范中心主任,网络空间安全省级重点支持现代产业学院副院长,“信息安全”国家一流专业建设点负责人,浙江省大学生网络与信息安全竞赛委员会秘书长,浙江省行业网络安全等级保护专家,浙江省信创专家,浙江省电子政务项目评审专家等。主要研究领域有数据安全、人工智能安全等。近年来,主持和参与国家重点研发计划、国家自然科学基金、工信部网络安全技术应用试点示范项目、中央网信办研究项目、中国工程院咨询项目等国家级项目10余项,以及“尖兵”“领雁”研发攻关计划等省部级课题10余项。曾担任30余个国际会议主席或程序委员会委员。在IEEE TIFS等重要期刊和会议上发表学术论文70余篇。获得浙江省研究生教育成果二等奖1项、教育部网络空间安全产学协同育人优秀案例二等奖1项、校教学成果一等奖和二等奖各1项,以及IEEE TrustCom 2018最佳论文奖、IEEE AINA 2011最佳学生论文奖、IEEE CSS TC 2009最佳学生论文奖。
王伦,杭州安恒信息技术股份有限公司教研总监,杭州市滨江区王伦信息安全测试员技能大师工作室领衔人,杭州市叶雷鹏网络与信息安全管理技能大师工作室核心成员。曾获杭州职业技术学院信息工程学院兼职教授、浙江经济职业技术学院数字信息技术学院行业导师、广东财贸职业学院产业导师等专家聘书。曾获“浙江省技术能手”“浙江工匠”称号,第46届世界技能大赛网络安全项目浙江省选拔赛第一名、“强网杯”全国网络安全挑战赛三等奖、中华人民共和国第一届职业技能大赛网络安全项目优胜奖等大赛奖项。持有多项国际国内权威认证,并参与起草国家标准、撰写多本网络安全图书。
吴鸣旦,信息安全专业高级工程师,杭州安恒信息股份有限公司副总裁、数字人才创研院副院长。从事网络安全行业 15 年以上,曾主持开发多款网络安全检测、教学类产品,现负责人才培养工作。发表5篇论文,参与编写2本图书,获得省级教学成果奖2项,申报专利8项,授权6项。先后被聘为江苏省产业教授、哈尔滨工业大学企业导师、杭州电子科技大学硕士生企业导师、电子科技大学网络空间安全研究院客座研究员。
本书提供如下资源:
● 本书配套PPT;
● 本书思维导图;
● 异步社区7天会员。
要获得以上资源,您可以扫描下方二维码,根据指引领取。
我们的联系邮箱是shanruiting@ptpress.com.cn。
如果您对本书有任何疑问、建议,或者发现本书中有任何错误,请您发邮件给我们,并请在邮件标题中注明本书书名,以便我们更高效地做出反馈。
如果您有兴趣出版图书、录制教学视频,或者参与图书翻译、技术审校等工作,可以发邮件给我们。
如果您所在的学校、培训机构或企业想批量购买本书或异步社区出版的其他图书,也可以发邮件给我们。
如果您在网上发现有针对异步社区出品图书的各种形式的盗版行为,包括对图书全部或部分内容的非授权传播,请您将怀疑有侵权行为的链接发邮件给我们。您的这一举动是对作者权益的保护,也是我们持续为您提供有价值的内容的动力之源。
“异步社区”(www.epubit.com)是由人民邮电出版社创办的IT专业图书社区,于2015年8 月上线运营,致力于优质内容的出版和分享,为读者提供高品质的学习内容,为作译者提供专业的出版服务,实现作者与读者在线交流互动,以及传统出版与数字出版的融合发展。
“异步图书”是异步社区策划出版的精品IT图书的品牌,依托于人民邮电出版社在计算机图书领域多年的发展与积淀。异步图书面向IT行业以及各行业使用IT技术的用户。
对初次接触域渗透的读者来说,或许直面域渗透实战场景、相关协议等知识会有一些迷茫,因此本书第1章先为读者介绍域环境的整体搭建过程、域森林的构建以及林信任关系的建立,旨在为读者构建一个清晰、全面的域森林框架。随后,第2章把视角放到了实战工具中,展开介绍市面上热门的Mimikatz、Kekeo、Rubeus、impacket、Certipy、PowerView等工具的应用,通过详尽的参数配置与实战演示,辅以直观的图片,帮助读者迅速建立起扎实的实操基础,为后续的域渗透学习奠定坚实的基础。
在实际应用中,构建和维护域、域树和域森林结构,通常需要强大的计算资源作为后盾。这是由于域、域树和域森林结构涉及大规模的数据处理、用户身份的管理以及安全策略的执行等操作,要顺利执行这些操作均需依赖高性能的服务器和存储设施。如果想要完整复制域环境,不仅需要投入大量硬件资源,还必须依赖专业技术人员进行配置与维护,这将耗费大量的时间、精力以及财力。
因此,为了帮助读者高效地学习和实践域渗透测试,我们通常选择构建一个精简版的实验环境,以便在满足学习与测试需求的同时,节约域渗透测试的成本与时间。
本书精心构建一个既精简又高效的实验环境,以满足读者进行域渗透测试的基本需求。该实验环境简化真实环境中复杂的配置过程,保留关键的安全特性和功能,使读者能够轻松地复现所需的环境。实验环境的关键组件如图 1-1 所示,了解这些关键组件有助于读者迅速理解并掌握域渗透的核心概念和技术。
图1-1 实验环境的关键组件
本书所构建的实验环境由2个域森林和3个域组成,模拟真实世界中复杂的网络架构和域信任关系。在图1-1中间的域森林中,dbapp.lab作为根域,承担着管理整个dbapp.lab森林的核心职责;其子域sub.dbapp.lab继承了父域的管理策略,并扩展了特定业务应用;左侧的证书服务为该域森林提供证书授权服务;在图1-1 右侧域的森林中,dbsecurity.lab作为另一个根域,独立负责dbsecurity.lab森林的安全控制和资源管理。特别值得注意的是,dbapp.lab和dbsecurity.lab这2个域森林之间建立了双向域信任关系,这一设计不仅模拟了真实环境中不同组织间的协作场景,也提升了实验环境的复杂性和挑战性。这种设计可以帮助读者深入理解域信任关系的建立和维护过程,以及在不同信任域之间进行安全通信和资源访问的策略。此外,每个域都配备了多个实验靶机,包括服务器和客户机,用于模拟不同的业务场景和用户行为。这些设备不仅提供了丰富的测试资源,还允许读者在多种环境下进行实践操作,从而帮助读者更全面地掌握域渗透测试的技巧和方法。实验靶机的详情如图1-2所示。
图1-2 实验靶机的详情
接下来,我们将详细介绍搭建实验环境的具体步骤。本书采用虚拟机形式来搭建实验环境,选用的虚拟机软件为安恒信息开发的资源教学平台。该平台不仅具备高效稳定的性能,还提供了丰富的管理功能,为实验环境的搭建提供了有力支持。
首先我们需要安装根域dbapp.lab的虚拟服务器(后称服务器)。服务器的内存至少为2GB,读者可以根据自己的服务器或客户机的实际情况进行调整。安装完成后需要为虚拟机安装Windows Server 2016操作系统。
接下来,介绍配置根域dbapp.lab的服务器的具体操作。安装完Windows Server 2016操作系统后,可以根据实际规划修改其IP地址与主机名,一旦安装了域服务,主机名将不可更改。读者可以根据自己的喜好和风格为主机命名,尽可能让主机名简单、方便、好记。修改主机名的操作如图1-3所示。打开“控制面板”→选择“系统和安全”→选择“系统”→单击“更改设置”→单击“更改”按钮→在“计算机名”文本框中输入自己想好的主机名(例如“dc01”)→单击“确定”按钮。
图1-3 修改主机名的操作
主机名修改成功后需要进行主机网络配置,配置主机网络的操作如图1-4所示。单击“打开网络和共享中心”→单击“更改适配器设置”→右击“以太网”图标→单击“属性”→双击“Internet协议版本4 (TCP/IPv4)”→选择“使用下面的IP地址”单选按钮→设置IP地址为“192.168.122.100”,子网掩码为“255.255.255.0”,默认网关为“192.168.122.1”,首选DNS服务器地址为“127.0.0.1”。
图1-4 配置主机网络的操作
接下来正式进行域环境的安装工作,以下将详细阐述安装过程。请注意,后续的域环境的安装工作流程与此处介绍的相似,因此后续仅会着重介绍与此处的不同之处,以避免产生重复。
打开“服务器管理器”界面,如图 1-5 所示,单击“添加角色和功能”按钮,开始安装域服务。
图1-5 开始安装域服务
首先,根据功能引导,连续单击“下一步”按钮,直到打开“服务器角色”选项卡,在其中单击“Active Directory域服务”,在弹出的“添加角色和功能向导”对话框中,单击“添加功能”按钮,添加Active Directory域服务所需的功能,如图1-6所示。
图1-6 添加Active Directory域服务所需的功能
连续单击“下一步”按钮,直到进入Active Directory域服务的“确认安装所选内容”选项卡中,如图1-7所示,单击“安装”按钮开始安装。至此,我们只是安装了Active Directory域服务,而没有进行配置。
图1-7 Active Directory域服务的“确认安装所选内容”选项卡
采用与添加Active Directory域服务所需的功能类似的方法添加DNS服务器所需的功能,如图1-8所示。
图1-8 添加DNS服务器所需的功能
在添加DNS服务器所需的功能后,进入DNS服务器的“安装进度”选项卡,如图1-9所示。
图1-9 DNS服务器的“安装进度”选项卡
安装完成后,“服务器管理器”界面右上方的小旗子图标右下方就会出现一个带叹号的三角形图标,单击小旗子图标展开菜单,然后单击菜单中的“将此服务器提升为域控制器”,如图1-10所示,就会弹出“Active Directory域服务配置向导”窗口。
图1-10 单击菜单中的“将此服务器提升为域控制器”
然后部署根域名配置,如图1-11所示,由于当前配置的是根域,因此选择“添加新林”单选按钮,然后在“根域名”文本框中填入根域名“dbapp.lab”,单击“下一步”按钮。
图1-11 部署根域名配置
接下来,配置域控制器选项,如图1-12所示,为目录服务还原模式(directory service restore mode,DSRM)设置密码,在设置一定强度的密码后单击“下一步”按钮。
图1-12 配置域控制器选项
继续单击“下一步”按钮,完成默认配置后,重新启动计算机,如图 1-13 所示,即可完成域服务的配置。
图1-13 重新启动计算机
重新启动计算机后,需要验证DNS服务器是否配置正确,以确保后续步骤能顺利地开展。在“服务器管理器”界面左侧列表中单击“DNS”,在右侧的“服务器”框中,右击名为“dc01”(操作系统显示对英文大小写不敏感,因此“dc01”与“DC01”表示同一个意思)的DNS服务器,在弹出的快捷菜单中选择“DNS管理器”,如图1-14所示。
图1-14 选择“DNS管理器”
在“DNS管理器”界面,展开“正向查找区域”文件夹下的文件夹,双击“dbapp.lab”,即可在“dbapp.lab属性”对话框中查看dbapp.lab的属性,最后单击“确定”按钮关闭对话框。DNS服务器的配置情况如图 1-15 所示,可以看出,最后一条记录中解析的是域控服务器(提升为域控制器的服务器)的主机名dc01。至此,完成根域dbapp.lab服务器的配置。
图1-15 DNS服务器的配置情况
在完成根域服务器的配置之后,为了避免物理服务器故障导致环境崩溃,必须安装辅域以构建备用根域服务,并安装Active Directory证书服务,为后续实验做好准备。
与1.2节操作相同,首先,创建一台虚拟机,为其安装Windows Server 2016操作系统,修改辅域网络配置,如图1-16所示。设置IP地址为“192.168.122.200”,子网掩码为“255.255.255.0”,默认网关为“192.168.122.1”,首选DNS服务器地址为“192.168.122.100”,备用DNS服务器地址为“127.0.0.1”。
图1-16 修改辅域网络配置
然后修改辅域主机名,如图 1-17 所示。将计算机名修改为“adcs”并且重新启动计算机,使这些更改生效。
图1-17 修改辅域主机名
重新启动计算机后,验证主机名和网络配置,如图1-18所示。
图1-18 验证主机名和网络配置
打开“添加角色和功能向导”对话框,开始安装Active Directory域服务和DNS服务,并添加Active Directory域服务所需的功能,如图1-19所示。
图1-19 添加Active Directory域服务所需的功能
在“服务器管理器”界面打开“Active Directory域服务配置向导”窗口,单击右侧的“选择”按钮,弹出凭据验证对话框,在其中的文本框中输入主域dbapp.lab的域管凭据(dbapp\administrator和dbappdc123!@#),如图1-20所示,单击“确定”按钮。
图1-20 输入主域dbapp.lab的域管凭据
凭证验证成功后会弹出一个“从林中选择域”的对话框,选择dbapp.lab域,并将当前服务器添加到主域,如图1-21所示。
图1-21 添加到主域
在“域控制器选项”选项卡中,为DSRM设置密码,如图1-22所示。
图1-22 为DSRM设置密码
然后,单击“下一步”按钮,在“其他选项”选项卡中选择复制自“dc01.dbapp.lab”,如图1-23所示。
图1-23 复制自“dc01.dbapp.lab”
后续的配置操作都与前文 1.2 节中根域的配置操作相同,连续单击“下一步”按钮,直到最后重新启动计算机。
重新启动计算机后,使用主域的域管用户凭据(dbapp\administrator和dbappdc123!@#)登录Active Directory证书服务器,检查Active Directory证书服务的配置情况,如图1-24所示。
图1-24 检查Active Directory证书服务的配置情况
接下来,添加证书服务,如图1-25所示。打开“添加角色和功能向导”窗口,在“服务器角色”选项卡中单击“Active Directory证书服务”,在弹出的“添加角色和功能向导”对话框中添加Active Directory证书服务所需的功能。
图1-25 添加证书服务
然后,选择要安装的角色服务,如图1-26所示,在为Active Directory证书服务选择要安装的角色服务时,勾选“证书颁发机构”“证书颁发机构Web注册”“证书注册Web服务”复选框,然后单击“下一步”按钮。
图1-26 选择要安装的角色服务
继续单击“下一步”按钮,直到出现“安装进度”选项卡,如图1-27所示。
图1-27 “安装进度”选项卡
单击“关闭”回到主界面,“服务器管理器”界面右上方的小旗子图标右下方就会出现一个带叹号的三角形图标,单击小旗子图标展开菜单,然后单击菜单中的“配置目标服务器上的Active Directory证书服务”,如图1-28所示。
图1-28 单击菜单中的“配置目标服务器上的Active Directory证书服务”
弹出“AD CS配置”窗口,然后添加Active Directory证书服务凭据,如图1-29所示,单击“下一步”按钮。
图1-29 添加Active Directory证书服务凭据
接下来,选择要配置的角色服务,如图1-30所示,勾选“证书颁发机构”“证书颁发机构Web注册”复选框,单击“下一步”按钮。
图1-30 选择要配置的角色服务
然后指定CA的设置类型,如图1-31所示,选择“企业CA”单选按钮,再单击“下一步”按钮。
图1-31 指定CA的设置类型
接着指定CA类型,如图1-32所示,选择“根CA”单选按钮,再单击“下一步”按钮。
图1-32 指定CA类型
然后指定私钥类型,如图1-33所示,选择“创建新的私钥”单选按钮,单击“下一步”按钮。
图1-33 指定私钥类型
继续单击“下一步”按钮,直到进入“进度”选项卡,然后单击“配置”按钮,即可开始Active Directory证书服务的配置,如图1-34所示。
图1-34 开始Active Directory证书服务的配置
配置完成后,选择要配置的角色服务,勾选“证书颁发机构”“证书颁发机构Web注册”和“证书注册Web服务”,如图1-35所示。
图1-35 选择要配置的角色服务
接下来,打开“CES的CA”选项卡,为证书注册Web服务指定CA,如图1-36所示。
图1-36 为证书注册Web服务指定CA
然后打开“CES的身份验证类型”选项卡,选择“Windows集成身份验证”单选按钮,如图1-37所示。
图1-37 选择“Windows集成身份验证”单选按钮
接下来,配置CES的服务账户,如图1-38所示。先选择“指定服务账户(推荐)”单选按钮,然后单击右侧的“选择”按钮,弹出“AD CS配置”文本框,在其中的文本框中输入域管用户凭据(dbapp\administrator和dbappdc123!@#)。
图1-38 配置CES的服务账户
完成凭据验证后,进入“结果”选项卡,连续单击“下一步”按钮,完成CES后续配置,如图1-39所示。
图1-39 完成CES后续配置
最后,查看证书颁发机构,如图1-40所示,配置完成后,在“服务器管理器”界面中单击“工具”→选择“证书颁发机构”,若能正常打开,则说明Active Directory证书服务已搭建成功。
图1-40 查看证书颁发机构
在域环境中,客户端的账户通常由主机账户和常规域用户账户组成。主机账户主要用于识别和验证计算机本身的身份,而常规域用户账户则用于识别和验证用户的身份。为了提升安全性,运维人员通常会先创建一个常规域用户账户,再利用该账户将一台独立的主机加入域中。这样一来,即便该主机遭受渗透攻击或出现账户信息泄露的问题,渗透测试人员能获得的权限也将受到限制,他不会获得整个域的控制权。采用这种策略能够显著降低潜在的安全风险,从而保障整个域环境的安全。
在dbapp.lab域控服务器上打开命令行,运行命令net user user1 123qwe!@# /add /domain,添加user1域用户,其口令为“123qwe!@#”;命令运行完成后,运行net user命令,查看user1域用户是否添加成功,如图1-41所示。
使用相同的方法,添加user2域用户并查看其是否添加成功,如图1-42所示。
图1-41 添加user1域用户并查看其是否添加成功
图1-42 添加user2域用户并查看其是否添加成功
与1.2节配置以太网的操作相同,新建一个虚拟机作为客户端主机,在其上安装Windows 10操作系统,设置IP地址为“192.168.122.101”,子网掩码为“255.255.255.0”,首选DNS服务器地址为“192.168.122.100”(主域的域控服务器的IP地址),备选 DNS 服务器地址为“192.168.122.200”(辅域的域控服务器的IP地址)。域主机整体配置如图 1-43 所示。计算机加入域和修改域主机名的操作步骤大致相同,只需要在最终修改前,将“隶属于”选项选择为域,并添加对应的域名即可。
然后在桌面单击“开始”→打开“控制面板”→选择“系统和安全”→选择“系统”→单击“更改设置”→单击“更改”按钮→在“计算机名”文本框中输入自己想好的计算机名(如win10pc1)→选择“域”单选按钮→在“隶属于”选项组的“域”文本框中输入隶属于的域(如dbapp.lab)→单击“确定”按钮,即可修改域主机名,如图1-44所示。
图1-43 域主机整体配置
图1-44 修改域主机名
此时会弹出“计算机名/域更改”文本框,使用域用户user1进行认证,如图1-45所示。认证完成并重新启动计算机后,即可将win10pc1加入域中。
图1-45 使用域用户user1进行认证
配置完成后,即可通过域用户user1登录win10pc1,如图1-46所示。
图1-46 通过域用户user1登录win10pc1
使用相同的方法添加win10pc2主机,设置IP地址为“192.168.122.201”,子网掩码为“255.255.255.0”,默认网关为“192.168.122.1”,首选DNS服务器地址为“192.168.122.100”(主域的域控服务器的IP地址),备用DNS服务器地址为“192.168.122.200”(辅域的域控服务器的IP地址),win10pc2的整体配置如图1-47所示。
图1-47 win10pc2的整体配置
在桌面单击“开始”→打开“控制面板”→选择“系统和安全”→选择“系统”→单击“更改设置”→单击“更改”按钮→在“计算机名”文本框中输入自己想好的计算机名(如win10pc2)→选择“域”单选按钮→在“隶属于”选项组的“域”文本框中输入隶属于的域(如dbapp.lab)→单击“确定”按钮,即可将win10pc2加入域中,如图1-48所示。
图1-48 将win10pc2加入域中
添加成功并重新启动计算机后,即可完成加入域,使用域用户登录后请求域内环境成功,即可通过任意域用户登录win10pc2,如图1-49所示。
图1-49 通过任意域用户登录win10pc2
与1.2节配置以太网操作相同,新建一个虚拟机并安装Windows Server 2016操作系统。设置IP地址为“192.168.122.150”,子网掩码为“255.255.255.0”,默认网关为“192.168.122.1”,首选DNS服务器地址为“192.168.122.100”,备用 DNS 服务器地址为“192.168.122.200”。由于安装的是dbapp.lab的子域,因此只安装域服务即可,不需要安装DNS服务器。子域网络的配置如图1-50所示。
修改计算机名为subdc02,如图1-51所示,与1.2节修改计算机名的操作步骤相同。
图1-50 子域网络的配置
图1-51 修改计算机名为subdc02
安装域服务如图1-52所示,具体的操作步骤与1.2节安装域服务的操作步骤相同。
图1-52 安装域服务
把当前的域加入已存在的dbapp域中。如图1-53所示,在“部署配置”选项卡中选择“将新域添加到现有林”单选按钮,分别在“父域名”“新域名”文本框中填入父域名“dbapp.lab”和当前的二级域名“sub”,最后在提供执行此操作所需的凭据处填入dbapp.lab的域管凭据,单击“下一步”按钮。
图1-53 把当前的域加入已存在的dbapp域中
输入DSRM密码,如图1-54所示,由于sub不是单独的域,所以只需要勾选“全局编录(GC)”即可。
图1-54 输入DSRM密码
连续单击“下一步”按钮,完成默认配置,然后重新启动计算机,如图1-55所示。
图1-55 重新启动计算机
重新启动计算机后,在“Active Directory域和域信任关系”窗口中,就可以查看域和域信任关系,如图1-56所示。实际上,sub是dbapp.lab的子域。
图1-56 查看域和域信任关系
新建虚拟机,在其上安装Windows Server 2016操作系统,将其作为dbsecurity.lab的域服务器。配置主机名(计算机名)为“securitydc01”,如图1-57所示。
图1-57 配置主机名(计算机名)为“securitydc01”
接下来,配置dbsecurity主域网络,如图1-58所示,与1.2节配置以太网操作相同,设置IP地址为“192.168.122.250”,子网掩码为“255.255.255.0”,默认网关为“192.168.122.1”,首选DNS服务器地址为“127.0.0.1”。
图1-58 配置dbsecurity主域网络
打开“服务器管理器”界面,安装域服务和DNS服务,其中,Active Directory域服务的“安装进度”选项卡如图1-59所示。
图1-59 Active Directory域服务的“安装进度”选项卡
连续单击“下一步”按钮,完成默认配置,重新启动计算机,如图 1-60 所示,即可完成dbsecurity.lab根域服务器的配置。
图1-60 重新启动计算机
要在 dbapp 森林与 dbsecurity 森林之间建立稳固的信任关系,保障两者间通信的顺畅至关重要。实现此目标的前提条件是这两个域森林保存着dbapp.lab与dbsecurity.lab这两个核心域名的解析记录。因此,必须在这两个域森林的根域服务器上分别建立并配置辅助DNS区域。具体而言,dbapp森林的根域服务器需增设一个辅助DNS区域,专门用于解析dbsecurity.lab域名;同理,dbsecurity森林的根域服务器亦需增设一个辅助DNS区域,专门用于解析dbapp.lab域名。通过这种配置,两个域森林的根域服务器将能够解析对方的特定域名,确保域信任关系建立过程中的通信畅通无阻。利用这种方法不仅提高了两个域森林间信任关系建立的效率和准确性,而且增强了整个网络环境的安全性和稳定性。建立林信任关系的具体操作如下。
首先需要设置辅助区域,在dc01主机上打开“服务器管理器”→单击“工具”→在菜单栏中选择DNS,即可打开DNS管理器,如图1-61所示。
图1-61 打开DNS管理界面
右击“正向查找区域”,在弹出的快捷菜单中选择“新建区域导向”,在“新建区域向导”对话框中选择“辅助区域”单选按钮,如图1-62所示,单击“下一步”按钮。
图1-62 选择“辅助区域”单选按钮
将dbsecurity.lab添加为dbapp.lab域的辅助DNS区域,在“区域名称”文本框中填入“dbsecurity.lab”,如图1-63所示。
图1-63 填入“dbsecurity.lab”
添加dbsecurity.lab到dbapp.lab的区域传送,如图1-64所示,打开“dbsecurity.lab属性”窗口,右键单击域名选择属性,在“区域传送”选项卡中添加“允许区域传送”的服务器,单击“只允许到下列服务器”并编辑弹出的“允许区域传送”文本框,在右侧中添加dbsecurity服务器的IP地址“192.168.122.250”,系统会自动解析主机名。如果在添加IP地址时出现告警,直接忽略即可。
图1-64 添加dbsecurity.lab到dbapp.lab的区域传送
添加dbapp.lab到dbsecurity.lab的区域传送,具体操作为在securitydc01主机上使用相同方式将传送的服务器指向dbapp.lab的DNS服务器(其IP地址为192.168.122.100),效果如图1-65所示。
图1-65 添加dbapp.lab到dbsecurity.lab的区域传送的效果
验证区域传送配置效果,如图1-66所示,两边配置完成后,刷新页面就可以在同一台主机上查看两个DNS服务器的信息。
图1-66 验证区域传送配置效果
接下来建立域森林之间的信任关系。首先,如图1-67所示,在dc01主机中单击左下角的图标,选择“Active Directory域和信任关系”,即可进入“Active Directory域和信任关系”窗口。
图1-67 进入“Active Directory域和信任关系”窗口
然后,新建信任,如图1-68所示,在该窗口中右击dbapp.lab域名→选择“属性”→单击“新建信任”按钮。
图1-68 新建信任
提供指定域用户凭据以创建信任,如图1-69所示。
图1-69 提供指定域用户凭据以创建信任
在“新建信任向导”中依次选择“林信任”“双向”“此域和指定的域”,使用指定域用户凭据进行认证,建立双向信任,如图1-70所示。
后续根据新建信任向导提示建立双向可传递信任关系,建立完成后在域关系中可以看到已经建立的信任关系。
图1-70 建立双向信任
验证信任建立效果,如图1-71所示,图1-71a展示了dbsecurity.lab域服务器securitydc01的信任关系,上下两个列表框中都有dbapp.lab,表示对dbapp.lab双向信任;图1-71b展示了dbapp.lab域服务器dc01的信任关系,可以看出也对dbsecurity.lab双向信任。
(a)dbsecurity.lab域服务器securitydc01的信任关系
(b)dbapp.lab域服务器dc01的信任关系
图1-71 验证信任建立效果
目前,我们已经顺利完成了本书所涉及的两大核心域森林—— dbapp森林与dbsecurity森林,以及它们所支撑的3个精心构建的域环境的基础搭建工作。随后,我们将以这一环境为基础,深入研究域渗透的基础知识。我们将系统地学习域环境下渗透测试的原理与方法,并掌握如何对域环境进行有效的安全评估。同时,我们将深入探讨域环境中各种协议在网络通信中的作用及其潜在的安全风险。此外,漏洞的识别与利用亦是我们的学习重点,我们将通过实际案例,学习如何发现并利用域环境中的漏洞,从而提高网络安全防护能力。
