第一章 内网渗透基础

<1> 内网基础知识

内网概述：

• 内网也指局域网（Local Area Network LAN）是指某一区域内多台计算机互联组成的计算机组。局域网可以实现文件管理、应用软件共享、打印机共享、工作组的历程安排、电子邮件和传真通信服务等功能。

• 内网是封闭型的，可以由办公室内两台计算机组成，也可以由一个公司内几千台计算机组成。例如：银行、学校、企业、政府机关、单位办公网等都属于此类

我们在研究内网的时候，经常会听到一些例如 "工作组"、"域"、"域控制器(DC)"、"父域"、"子域" 、域树"、"域森林"、"活动目录(AD)"、"DMZ"、"域内权限" 等等专有名词 它们指的是什么呢？又有什么区别呢？

(1) 工作组

1. 概念

Work Group：在一个大的单位里，可能有上千台电脑互相组成局域网。他们列在网络内，如果这些电脑不分组，会十分混乱，要找一台电脑很困难。 和我们的下载的软件分类差不多，不分组的话找起来会很困难。为了解决这个问题，有了"工作组"的概念。 我们将不同的电脑按功能（或部门）分别列入不同的工作组中。你要访问哪个部门资源，直接在"网络"里找到那个部门的工作组名，双击就可以看到那个部门的所有电脑了。这样相比于不分组的情况，对那种大型网络来说，会变得十分有序

2. 加入/创建工作组

• 右键桌面上的"计算机"，弹出的菜单里选择"属性"，点击"更改设置"，"更改" 在"计算机名"一栏输入你想好的名称，在"工作组"一栏输入你想要加入的工作组名称

• 如果你输入的工作组名称网络中没有，那么相当于新建了一个工作组，当然暂时只有你的电脑在组内，重新启动之后，再点击进入"网络"，就可以看到你所加入的工作组成员了

3. 退出工作组

• 只要将工作组名称改动即可。不过在网上别人照样可以访问你的共享资源。你也可以随便加入同一网络上的任何其他工作组。"工作组"就像一个可以自由进入和退出的"社团"，方便同一组的计算机互相访问。

• 所以工作组并不存在真正的集中管理作用，工作组里的所有计算机都是对等的，也就是没有服务器和客户机之分的。

4. 一个问题

假如一个公司有200台电脑，我们希望某台电脑上的账户Alan可以访问每台电脑内的资源或者可以在每台电脑上登录。那么在"工作组"环境中，我们必须要在这200台电脑的各个SAM数据库中创建Alan这个账户。一旦Alan想要更换密码，必须要更改200次！现在只是200台电脑的公司，如果是有5000台电脑或者上万台电脑的公司呢？

估计管理员会抓狂，等我们看完下面的 域 和 活动目录 ，就可以有更好的办法了。

(2) 域

1. 概念

域（Domain）是一个有安全边界的计算机集合（安全边界意思是在两个域中，一个域中的用户无法访问另一个域中的资源），可以简单的把域理解成升级版的“工作组”，相比工作组而言，它有一个更加严格的安全管理控制机制，如果你想访问域内的资源，必须拥有一个合法的身份登陆到该域中，而你对该域内的资源拥有什么样的权限，还需要取决于你在该域中的用户身份

域控制器（Domain Controller，即DC）是一个域中的一台类似管理服务器的计算机，相当于一个单位的门卫一样，它负责每一台联入的电脑和用户的验证工作，域内电脑如果想互相访问首先都是经过它的审核。即验证用户的身份

• 域控制器中存在由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当计算机连接到域时，域控制器首先要鉴别这台计算机是否属于这个域，以及用户使用的登陆账号是否存在、密码是否正确。若以上信息不正确则拒绝这台计算机的登陆，进而不能访问服务器中的资源。因而DC是十分重要的。

• 域控制器是整个域的通信枢纽，所有的权限身份验证都在域控制器上进行，即域内所有用来验证过身份的账号和密码hash散列值都保存在域控制器中。内网渗透的目的就是为了获得域控制器 安全域划分

这里就是两个边界，两个域。如果那个电子商务服务器，想访问里面那个域的服务器，需要有一个合法的身份登入那个域中。

2. 域的分类

单域 父域，子域 域树（tree） 域森林（forest） DNS域名服务器

2.1 单域

• 在一般的具有固定地理位置的小公司里，建立一个域就可以满足所需。

• 一般在一个域内要建立至少两个域服务器，一个作为DC，一个是备份DC。如果没有第二个备份DC，那么一旦DC瘫痪了，则域内的其他用户就不能登陆该域了，因为活动目录的数据库（包括用户的帐号信息）是存储在DC中的。而有一台备份域控制器（BDC），则至少该域还能正常使用，期间把瘫痪的DC恢复了就行了。

2.2 父域

出于管理及其他一些需求，需要在网络中划分多个域，第一个域称为父域，各分部的域称为该域的子域。

• 比如一个大公司，它的不同分公司在不同的地理位置，则需父域及子域这样的结构。

• 如果把不同地理位置的分公司放在同一个域内，那么他们之间信息交互（包括同步，复制等）所花费的时间会比较长，而且占用的带宽也比较大。（因为在同一个域内，信息交互的条目是很多的，而且不压缩；而在域和域之间，信息交互的条目相对较少，而且压缩。）

• 还有一个好处，就是子公司可以通过自己的域来管理自己的资源。将对应部门规划为一个域，公司则是一个域树。

• 还有一种情况，就是出于安全策略的考虑，因为每个域都有自己独有的安全策略。比如一个公司的财务部门希望能使用特定的安全策略（包括帐号密码策略等），那么可以将财务部门做成一个子域来单独管理。

2.3域树

域树指若干个域通过建立信任关系组成的集合。一个域管理员只能管理本域的内部，不能访问或者管理其他的域，二个域之间相互访问则需要建立信任关系（Trust Relation）。比如asia.abc.com与Europe.abc.com访问需要建立信任关系

• 信任关系是连接在域与域之间的桥梁。域树内的父域与子域之间不但可以按需要相互进行管理，还可以跨网分配文件和打印机等设备资源，使不同的域之间实现网络资源的共享与管理，以及相互通信和数据传输。
• 在一个域树中，父域可以包含很多子域，子域是相对父域来说的，指域名中的每一个段。子域只能使用父域作为域名的后缀，也就是说在一个域树中，域的名字是连续的

2.4 域森林

域森林指若干个 域树 通过建立信任关系组成的集合。可以通过域树之间建立的信任关系来管理和使用整个森林中的资源，从而又保持了原有域自身原有的特性。比如：这里域树abc.com与域树abc.net之间通过建立信任关系来构成域森林

2.5 DNS域名服务器(Domain Name Server)

DNS域名服务器是进行域名（domain name）和与之相对应的IP地址（IP address）转换的服务器。

• 在域树的介绍中，可以看到域树中的域的名字和DNS域的名字非常相似，实际上域的名字就是DNS域的名字，因为域中的计算机使用DNS来定位域控制器和服务器以及其他计算机、网络服务等。

• 一般情况下，我们在内网渗透时就通过 寻找DNS服务器来定位域控制器，因为通常DNS服务器和域控制器会处在同一台机器上。

(3) 活动目录

1. 概念

活动目录（Active Directory，即AD）是域环境中提供目录服务的组件。

目录是什么？

• 目录就是存储有关网络对象（如用户、组、计算机、共享资源、打印机和联系人等）的信息。目录服务是帮助用户快速准确的从目录中查找到他所需要的信息的服务。

• 如果将企业的内网看成是一本字典，那么内网里的资源就是字典的内容，活动目录就相当于字典的索引。即活动目录存储的是网络中所有资源的快捷方式，用户通过寻找快捷方式而定位资源。

2.逻辑结构

• 在活动目录中，管理员可以完全忽略被管理对象的具体地理位置，而将这些对象按照一定的方式放置在不同的容器中。由于这种组织对象的做法不考虑被管理对象的具体地理位置，这种组织框架称为“逻辑结构“。
• 活动目录的逻辑结构就包括上面讲到的组织单元（OU）、域（domain）、域树（tree）、域森林（forest）。在域树内的所有域共享一个活动目录，这个活动目录内的数据分散地存储在各个域内，且每一个域只存储该域内的数据。

例：A集团下有甲 乙 丙三家子公司，为了A集团更好的管理这三家公司，可以将这三家公司的域树集中起来组成域森林。A集团可以按照 "A集团（域森林）->子公司（域树）->部门（域）->员工" 的方式对网络进行层次分明的管理。可以使企业网络具有较强的可扩展性，便于进行组织、管理及目录定位。

3.活动目录(AD)主要功能

1. 帐号集中管理，所有帐号均存在服务器上，方便对帐号的重命令/重置密码。

2. 软件集中管理，统一推送软件，统一安装网络打印机等。利用软件发布策略分发软件，可以让用户自由选择安装软件。

3. 环境集中管理，利用AD可以统一客户端桌面，IE，TCP/IP等设置。

4. 增强安全性，统一部署杀毒软件和扫毒任务，集中化管理用户的计算机权限、统一制订用户密码策略等，可监控网络，资料统一管理。

5. 更可靠，更少的宕机时间。如：利用AD控制用户访问权限，利用群集、负载均衡等技术对文件服务器进行容灾设定，更可靠，岩机时间更少。

6. 活动目录为Microsoft统一管理的基础平台，其它isa，exchange，sms等服务都依赖于这个基础平台。

4. DC和AD的区别、联系

• 如果网络规模较大，我们就会考虑把网络中的众多对象：计算机、用户、用户组、打印机、共享文件等，分门别类、井然有序地放在一个大仓库中，并做好检索信息，以利于查找、管理和使用这些对象（资源）。这个有层次结构的数据库，就是活动目录数据库，简称AD库。

• 那么我们应该把这个数据库放在哪台计算机上呢？规定是这样的，我们把存放有活动目录数据库的计算机就称为DC。

• 所以说我们要实现 域环境，其实就是要安装AD，当内网中的一台计算机安装了AD后，它就变成了DC。

• DC的本质是一台计算机，AD的本质是提供目录服务的组件

5. 前面的工作组环境"问题-解决

回顾一下之前的问题：

假如一个公司有200台电脑，我们希望某台电脑上的账户Alan可以访问每台电脑内的资源或者可以在每台电脑上登录。那么在"工作组"环境中，我们必须要在这200台电脑的各个SAM数据库中创建Alan这个账户。一旦Alan想要更换密码，必须要更改200次！现在只是200台电脑的公司，如果是有5000台电脑或者上万台电脑的公司呢？

答案：

在域环境中，只需要在活动目录中创建一次Alan账户，那么就可以在任意200台电脑中的一台上登录Alan，如果要为Alan账户更改密码，只需要在活动目录中更改一次就可以了。

学了域之后，这个问题解决是不是就很简单呢，当然这只是域的一个很基础的功能。

(4) 域相关概念

1. 安全域划分

安全域划分的目的是将一组安全等级相同的计算机划入同一个网段内，这一网段内的计算机拥有相同的网络边界，在网络边界上采用防火墙部署来实现对其他安全域的 NACL（网络访问控制策略），允许哪些IP访问此域、不允许哪些访问此域；允许此域访问哪些IP/网段、不允许访问哪些IP/网段。使得其风险最小化，当发生攻击时可以将威胁最大化的隔离，减少对域内计算机的影响。

内网安全策略级别最高，DMZ中等，外网则低一点。

下图为中小型内网的安全区域划分，一个虚线框表示一个安全域（也是网络的边界，一般分为DMZ和内网），通过硬件防火墙的不同端口实现隔离。

2. DMZ

网络一般大致可以分为三个区域：安全级别最高的内网；安全级别中等的DMZ；安全级别最低的外网。三个区域负责完成不同任务，因此需要设置不同的访问策略。

如上图，两个防火墙之间的空间被称为DMZ。

DMZ(demilitarized zone)的缩写，即"隔离区"，也称"非军事化区"。

• DMZ是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区。

• 该缓冲区位于企业内部网络和外部网络之间的小网络区域内。在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。

• 另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络。因为这种网络部署，比起一般的防火墙方案，对来自外网的攻击者来说又多了一道关卡

3. DMZ屏障功能

通过定义一些访问策略，实现DMZ区的屏障功能

• 内网可以访问外网
  内网的用户需要自由地访问外网。在这一策略中，防火墙需要执行NAT。

• 内网可以访问DMZ
  此策略使内网用户可以使用或者管理DMZ中的服务器。

• 外网不能访问内网
  这是防火墙的基本策略了，内网中存放的是公司内部数据，显然这些数据是不允许外网的用户进行访问的。如栗要访问，就要通过VPN方式来进行。 比如：最常见的校园网

• 外网可以访问DMZ
  DMZ中的服务器需要为外界提供服务，所以外网必须可以访问DMZ。同时，外网访问DMz需要由防火墙完成对外地址到服务器实际地址的转换。

• DMZ不能访问内网
  如不执行此策略，则当入侵者攻陷DMz时，内部网络将不会受保护。

• DMZ不能访何外网
  此条策略也有例外，比如我们的例子中，在DMZ中放置邮件服务器时，就需要访问外网，否则将不能正常工作。

内网又可分为办公区和核心区

办公区：公司员工日常的工作区，一般会安装防病毒软件、主机入侵检测产品等。办公区一般能够访问DMZ。

核心区：存储企业最重要的数据、文档等信息资产，通过日志记录、安全审计等安全措施进行严密的保护，往往只有很少的主机能访问。从外部是绝难访问核心区的。

4. 域中计算机分类

分为 域控制器(DC)、成员服务器、客户机、独立服务器

域控制器：

• 域控制器用于管理所有的网络访问,包括登录服务器、访问共享目录和资源。域控制器中存储了域内所有的账户和策略信息,包括安全策略、用户身份验证信息和账户信息。

• 在网络中,可以有多台计算机被配置为域控制器，以分担用户的登录、访问等操作。多个域控制器可以一起工作,自动备份用户账户和活动目录数据。这样，即使部分域控制器瘫痪,网络访问也不会受到影响，提高了网络的安全性和稳定性

成员服务器 ：

• 成员服务器是指安装了服务器操作系统并加入了域、但没有安装活动目录的计算机

• 其主要任务是提供网络资源。成员服务器的类型通常有文件服务器、应用服务器、数据库服务器、Web服务器、邮件服务器、防火墙、远程访问服务器、打印服务器等

客户机：

• 域中的计算机可以是安装了其他操作系统的计算机,，用户利用这些计算机和域中的账户就可以登录域。这些计算机被称为域中的客户机。 之前安全域划分图里的 办公电脑就是客户机。

• 域用户账号通过域的安全验证后,即可访问网络中的各种资源

独立服务器：

• 独立服务器是指安装了服务器操作系统但 并没有加入域、也没有安装活动目录的计算机 和域没什么关系。
• 独立服务器可以创建工作组，也可以和网络上的其他计算机共享资源，因为和域没有关系，所以 活动目录(AD) 的这些资源它是无法享受的

注：

• 域控制器是存放活动目录数据库的，是域中必须要有的，而其他三种则不是必须的，也就是说最简单的域可以只包含一台计算机，这台计算机就是该域的域控制器。
• 域中各个服务器的角色也是可以改变的，例如域服务器在删除活动目录时，如果是域中最后一个域控制器，则该域服务器会成为独立服务器，如果不是域中唯一的域控制器，则将使该服务器成为成员服务器。同时独立服务器既可以转换为域控制器(装入一个AD)，也可以加入到某个域成为成员服务器。

5. 域内权限解读

5.1 域本地组

域本地组：多域用户访问单域资源（访问同一个域）。可以从任何域添加用户账户、通用组和全局组，只能在其所在域内指派权限。

• 域本地组不能嵌套于其他组中。
• 它主要是用于授予位于本域资源的访问权限。

5.2 全局组

全局组：单域用户访问多域资源（必须是同一个域里面的用户）。只能在创建该全局组的域上进行添加用户和全局组，可以在域林中的任何域中指派权限，全局组可以嵌套在其他组中。

有很多的全局组，可以把Domain Computers加入Domain Admins全局组中，但是不能加入到其他全局组的域中。

5.3 全局组与域本地组区别

全局组相当于域账号，可以在全局使用，域本地组相当于本地账号，只能本机上使用。

下面我来举两个例子来进一步说明（以混合模式下为例）：

例1：将用户张三（域帐号Z3）加入到域本地组administrators中，并不能使Z3对 非DC 的 域成员计算机 有任何特权，但若加入到全局组Domain Admins中，张三就是域管理员了，可以在全局使用，对域成员计算机是有特权的。

例2：只有在域的DC上，对资源（如：文件/夹）设置权限，你可以指派域本地组administrators；但在非DC的域成员计算机上，你是无法设置域本地组administrators的权限的。因为它是域本地组，只能在该域DC上使用

5.4 通用组

通用组，通用组成员来自域林中任何域中的用户账户、全局组和其他的通用组，可以在该域林中的任何域中指派权限，可以嵌套于其他域组中。非常适于域林中的跨域访问

通常用于不经常发生变化的用户。组成员信息保存在 GC 里。

5.5 AGDLP策略

• A (account):用户帐户

• G (Global group):全局组

• DL (Domain local group):域本地组

• P (Permission许可):表示资源权限

• A-G-DL-P策略是将用户账号添加到全局组中，将全局组添加到域本地组中，然后为与本地住分配资源权限。按照AGDLP的原则对用户进行组织和管理起来更容易

• 在AGDLP形成以后当给一个用户某一个权限的时候,只要把这个用户加入到某一个本地域组就可以了。

举个例子比如：有两个域，A和B，A中的5个财务人员和B中的3个财务人员都需要访问B中的“FINA”文件夹。这时，可以在B中建一个DL(域本地组)，因为DL的成员可以来自所有的域，然后把这8个人都加入这个DL，并把FINA的访问权赋给DL。这样做的坏处是什么呢？因为DL是在B域中，所以管理权也在B域，如果A域中的5 个人变成6个人，那只能A域管理员通知B域管理员，将DL的成员做一下修改，B域的管理员太累了。这时候，我们改变一下，在A和B域中都各建立一个全局组（G），然后在B域中建立一个DL，把这两个G都加入B域中的DL中，然后把FINA的访问权赋给 DL。哈哈，这下两个G组都有权访问FINA文件夹了，是吗？组嵌套造成权限继承嘛！这时候，两个G分布在A和B域中，也就是A和B的管理员都可以自己管理自己的G啦，只要把那5个人和3个人加入G中，就可以了！以后有任何修改，都可以自己做了，不用麻烦B域的管理员！这就是A-G-DL-P。

A-G-DL-P策略是将用户账号添加到全局组中，将全局组添加到域本地组中，然后为域本地组分配资源权限。

简单来说：

• 域本地组：来自全林、作用于本域

• 全局组：来自本域、作用于全林

• 通用组：来自全林、作用于全林

5.6 熟悉各个组

本地域组的权限：

• Administrators（管理员组）
  admin管理员。。。。肯定重要

• Remote Desktop Users（远程登录组）
  授予组内成员远程登录的权限

• Print Operators（打印机操作员组）
  可以管理、建立、删除网络打印机

• Account Operators（帐号操作员组）
  可以创建和管理域中用户和组，并可以设置它的权限。但是它是不能更改管理员组的账号的

• Server Operaters（服务器操作员组）
  可以管理域服务器。可以建立、删除任何域服务器里的共享目录。关锁定服务器、变更服务器的时间、关闭域控制器等等

• Backup Operators（备份操作员组） 在域控制器上执行备份，还原操作。也可以本地登录和关闭域控制器。

全局组、通用组的权限：

• Domain Admins（域管理员组）
  域管理员、更别说了。对域内所有计算机都有管理权限。是最最重要的权限，一般来说域渗透是看重这个

• Enterprise Admins（企业系统管理员组）
  除了域管理员组，第二重要的组

• Schema Admins（架构管理员组）
  第三重要是架构管理员组。可以管理活动目录

• Domain Users（域用户组）

<2> 攻击主机平台与工具利用

虚拟机三种模式：

• 桥接模式：虚拟机在局域网中作为独立的主机，可以和局域网里其他机器相互访问

• NAT模式：虚拟机借助物理机来上网，可以和物理机之间相互访问，除物理机之外其他机器是不能访问虚拟机的。但是虚拟机可以访问同网段的其他机器的(因为你物理机是可以访问其他电脑的，而它是借助物理机)。

• Host-only模式：仅主机模式。在渗透测试实验中推荐用host-only模式，是三种模式中隐秘性最强、最严格的网络配置。虚拟机处于一个独立的网段，和物理机的ip段是分开来的。这个模式下虚拟机是不能上网的，主机和虚拟机可以互访

(1) 域环境搭建

下载操作系统的网站：https://msdn.itellyou.cn/
安装教程：https://www.cnblogs.com/1vxyz/p/17131317.html

1. 网络拓扑

操作系统	安装服务	计算机名称	IP	DNS服务器地址
Windows server 2012 R2	AD/DC	DC	192.168.1.1	192.168.1.1
Windows7	加入域	WIN7	192.168.1.2	192.168.1.1
Windows server 2008 R2	加入域	WEB	192.168.1.3	192.168.1.1

2. 域环境配置

操作流程：
Windows server 2012 R2
更改IP地址–>更改计算机名–>安装域控和DNS服务–>升级服务器–>创建AD域–>创建用户

windows server 2008 R2：
更改IP地址与DNS服务器地址–>更改计算机名–>加入域

windows7：
更改IP地址与DNS服务器地址–>更改计算机名–>加入域

Windows 2012 R2设置★

设置ip、更改计算机名、安装域控制器和DNS服务、升级服务器、创建Active Directory用户

• 设置ip为192.168.1.1，子网掩码为255.255.255.0，DNS指向自己IP

• 更改计算机名称为DC

然后会显示重新启动才会完成更改，我们重启。

• 安装域控制器和DNS服务
  在服务器管理器中，选择 添加角色和功能 -> 默认下一步至服务器角色，点上 Active Directory域服务 与 DNS服务器

再默认下一步 至 确认，勾选上如果需要 自动启动目标服务器。安装即可

• 升级为域控制器
  点击🚩旁边的⚠，点击 将此服务器升为域控制器 并且 添加新林，设置根域名为 hack.testlab
  
  

• 设置DSRM(目录还原模式)密码
  这个密码是干什么用的呢？ 这个密码是我们开机进入安全模式，修复数据库的时候用的
  
  点击下一步之后，会有一个什么DNS⚠ 不用理会它
  

• 设置NetBIOS
  这个NetBIOS域名是，比如不支持DNS的旧系统，比如win98 需要通过这个名来进行通讯，这里保持默认
  

• 设置路径
  路径--指定数据库、日志、SYSVOL文件夹位置： 这里保持默认
  

• 安装AD域服务
  

重启完成之后，我们这个机器的administrator，也就随之变成了域管理员。可以看到登录界面的账户名也变了：

在那个服务器管理界面也就可以看见 AD、IDS、DNS等服务了

域控安装成功以后，他会将自己在域里的角色，注册到DNS的服务器里面，以让域里的其他计算机，能够通过这个DNS服务器来找到这台计算机。

可以看到dc主机的记录，可以看到我们的域控 hack.testlab已经正确的将主机和ip地址注册到DNS服务器，域里的其他机器就可以通过这个找到域控。

看到这个ldap表示我们的域控已经正确的注册为域控制器了。也看到了这个gc 全局边路

• 创建Active Directory用户
  为windows server 2008 r2 和 windows 7用户创建控制器账户
  
  也可以在 控制面板 -> 系统与安全 -> 管理工具里打开
  选择Users目录，右键，新建对象--用户，创建一个testuser账户
  
  
  可以看到添加了一个普通的域用户 testuser

Windows7设置

• 设置ip与DNS服务器地址
  控制面板 -> 网络和Internet -> 更改适配器设置 -> Internet协议版本(TCP/IPv4)属性
  
  设置完之后可以 ping以下我们的域控，DNS的ip地址 看看能不能ping通

• 加入域
  
  这里需要输入以下域的账号和密码。这里我们输入新建的testuser，确定
  

现在呢 windows7算是加入域成功啦！

然后提示必须重新启动计算机，点击确认 开始重新启动。

重启之后，可以用域控管理员账号密码、也可以用新建的那个testuer域普通用户去登录。当然这两个用户权限是不一样的。

现在呢还是我们本机的 WiNDOWS7\1vxyz

这里我们切换用户，我们用普通的域账号登录一下。

现在可以看到了，成功登录进去啦。现在已经算所域环境了。这两台机子 构成了一个小型 Mini域了

ping一下我们域控的ip地址 和 DNS域名 都是没有问题的

Windows 2008 R2设置

同Windows7，设置ip为192.168.1.3 和DNS服务器 192.168.1.1
然后加入域

DC管理域内计算机

在computers里，右键win2008机器，点管理

弹⚠了，我们去win2008那边关掉防火墙再回来

就可以远程对这个电脑，用户、磁盘管理、等等进行管理

(2) 其他漏洞学习环境搭建

漏洞靶场	靶场描述	下载地址
Metasploit2	Ubuntu Linux的虚拟机，内置了常见的漏洞其默认的用户名和密码都是msfadmin	https://sourceforge.net/projects/metasploitable/files/Metasploitable2/
Metasploit3	Metasploit3的升级版，默认密码还是msfadmin	https://github.com/rapid7/metasploitable3
OWASPBWA	一款基于虚拟机的渗透测试工具，提供一个存在大量漏洞的网站应用程序环境	https://sourceforge.net/projects/owaspbwa/files/

内网靶场	靶场描述	下载地址
红日靶场	vultargeta靶场是星期五实验室公众号发布的自行设计靶场,其中涵盖了WEB渗透、主机漏洞、域漏洞、工控漏洞	http://vulnstack.qiyuanxuetang.net/vuln/
CFS三层内网	三层靶机的内网渗透，常用于CTF比赛	https://www.anquanke.com/post/id/187908
Social Network	Vulnhub上的一台靶机	http://www.yongyindai.com/plus/view.php?aid=62

(3) 内网渗透常用工具

1. windows平台常用工具

工具名称	介绍描述
Nmap	信息收集与网络发现工具，用于发现主机，端口扫描，识别服务，识别操作系统等
Wireshark	免费开源的网络协议和数据包分析器，将网络接口设置为混杂模式能够监控整个网络的流量
PUTTY	免费开源的SSH和Telnet客户端，主要用于远程访问
Sqlmap	免费开源，主要用来对WEB应用程序进行SQL注入攻击测试，只是不同数据库
Burpsuite	主要用于对WEB应用程序进行安全测试的集成平台
Hydra	网络登录的破解工具，支持多种协议
Getif	基于windows的免费图形界面工具，用于收集SNMP设备的信息 Cain&Able 强有力的嗅探工具与密码破解
PowerSploit	基于PowerShell的后渗透框架,包含很多PowerShell攻击脚本,主要用于信息侦查,权限提升,权限维持
Nishang	Powershell脚本和有效载荷的框架的集合

2. Linux平台常用工具

工具名称	介绍描述
WCE	Windows凭据管理器，列出登录会话，添加/修改/列出/删除关联凭据（LM HASH/NTML HASH/明文密码/Kerberos票据）
Mimikatz	用于从内存中获取明文密码，现金票据和秘钥等
Responder	嗅探网络内所有LLMNR包和获取各主机的信息
Beff	一款针对浏览器的渗透测试工具
DSHashes	从NTDSXtract中提取用于易于理解的散列值
Powersploit	基于PowerShell的后渗透框架,包含很多PowerShell攻击脚本,主要用于信息侦查,权限提升,权限维持
Nishang	针对Powershell的渗透测试工具，集成了框架，脚本和各种payload
Empire	内网渗透利器，跨平台，有丰富的模块和接口，用于可自行添加模块和功能
ps_encoder.py	使用base64编码封装的powershell命令包，目的是混淆和压缩代码
smbexec	使用Samba工具的快速psexec类工具
Veil	生成绕过常见的防病毒解决方案的Metasploit有效载荷
Metasploit	漏洞攻击平台/5大框架：exploit/auxiliary/payload/post/encoder
CobaltStrike	优秀的后渗透测试平台，主要用于内网渗透适合团队间协同工作

参考：https://www.bilibili.com/video/BV1JA411x7HM/