2024hw蓝队面试题--6

请说一下内网渗透流程

1.信息收集：熟悉内部网络环境，了解目标机制、服务器参数、应用信息等。工具包括方正、nmap、Wireshare等。

2.漏洞扫描：利用工具对目标内网进行扫描，发现系统漏洞或者敏感信息泄漏问题。

3.漏洞利用：通过已知的漏洞，获取操作系统的控制权限。这里的工具可以包括Metasploit、Cobalt Strike等。

4.权限提升：利用一些技术，进一步提升已经获取的权限，目标是得到最高权限（如root或administrator）。

5.水平和垂直移动：网络内部的进一步探索，以获取更多资产的访问权限。

6.获取域控制器权限：在内网渗透中，最关键的目标是获取DC的权限。

7.持久化：为了在渗透测试结束后仍能保持访问内网的能力，攻击者通常会尝试在内网中建立持久性的控制节点。

8.清理痕迹：清理日志和其他证据，以避免安全人员发现渗透行为。

请说一下psexec和wmic区别

PsExec是Sysinternals套件的一部分，由微软提供。PsExec的工作方式是通过在目标系统上创建服务来执行命令。其基本原理是通过IPC共享。使用PsExec的优点是它能够执行复杂的命令和脚本，而且可以在权限足够的情况下用系统账户执行。然而，它的缺点是需要较高的权限（通常需要管理员权限），并且可能会在目标系统上留下痕迹（例如日志），容易被防病毒软件和IDS/IPS检测到。WMIC（Windows Management Instrumentation Command-line）则使用WMI（Windows Management Instrumentation）来执行命令。WMI是一系列工具集，可以在本地或者远程管理计算机系统。它没有在目标系统上创建服务，而是直接在WMI接口上执行命令。使用WMIC的优点是它无需在目标系统上创建文件或服务，这使得其在进行横向移动或者在被高度监视的网络中进行操作时更难被检测到。然而，它可能需要特定的WMI权限，并且可能不支持那些需要交互或者复杂输入的命令。

PTT是什么？有哪些攻击方法

PTT（Pass The Ticket）是一种基于Kerberos认证的攻击方式，常用于权限维持和内网渗透。以下是一些常见的PTT攻击方法：

1.票据窃取和重用: 在PTT攻击中，攻击者首先需要获取一个有效的Kerberos票据，这通常可以通过某些形式的窃取或者利用漏洞完成。一旦获取了票据，攻击者可以在网络中作为该用户身份进行移动。

2.黄金票据攻击：如果攻击者能够获取到域内krbtgt用户的NTLM哈希或AES-256的密钥，那么他们可以生成所谓的"黄金票据"。这种票据赋予了攻击者域管理员的权限，而且它的有效期非常长，可以超过默认的最大票据生命周期。

3.使用工具进行PTT攻击：一些工具，如Mimikatz和Impacket，提供了进行PTT攻击的功能。例如，Mimikatz可以用来窃取并使用Kerberos票据；Impacket中的goldenPac模块可以用来进行黄金票据攻击。

详细讲一下金票以及需要的信息

1.krbtgt账户的NTLM哈希：krbtgt是Active Directory中用于签发TGT的一个特殊账户。这个账户的NTLM哈希值是用于加密和签名所有的TGT，因此攻击者需要首先获取这个哈希值。一旦获取到这个哈希值，攻击者就能生成合法的TGT。

2.域名：金票攻击需要目标的域名.This is necessary to properly form the TGT.

3.域SID：Security Identifier（SID）是Windows中用于唯一标记安全主体（比如用户、组和计算机）的一个标识符。在金票攻击中，需要知道目标域的SID来正确创建TGT。

4.攻击者希望冒充的用户的用户名：这一点比较直接，如果攻击者想要作为特定用户执行操作，他们需要知道该用户的用户名。

最后，攻击者还需要能够生成和使用TGT的工具，例如 Mimikatz 或者其他相关的工具。Mimikatz 是一款可以在内存中寻找Windows凭据，如明文密码、哈希值和Kerberos票据的常用工具。

如何快速痕迹清除和权限维持

痕迹清除：

1.清除日志：在Windows上，通过“开始-程序-管理工具-计算机管理-事件查看器(Event Viewer)”来手动删除系统、安全和应用程序日志。Linux下可以通过命令行删除/var/log/中的日志文件。

2.清除浏览历史：清除Web服务器访问日志，如Apache的access.log，IIS的 LOGS/*.log。

3.清除数据库操作记录：清除可能产生的数据库访问记录。这可能涉及删除数据库操作日志或者清理pgsql，mysql等数据库的历史命令。

权限维持：

1.利用SSH公私钥：在客户端生成一对公私钥，然后把公钥放到服务器（~/.ssh/authorized_keys)，保留私钥。当ssh登录时，ssh程序将发送私钥去和服务器上的公钥做匹配，这样就能够维持权限。

2.使用持久化rootkit：例如 Diamorphine Rootkit，当它加载时，模块开始变为隐藏状态；它可以通过发送信号 31 来隐藏/取消隐藏任何进程；向pid为1的进程发送信号 64 将启动/停止模块；

3.克隆账号: 还可以使用克隆或创建新的系统账号来维持权限。新建或克隆的账号应具有相应的权限，并与常规系统账号混淆，以降低被发现的风险。

DCSync的利用条件有哪些

DCSync是一种攻击技巧，被设计用于Windows Active Directory环境在域内复制数据。使用 DCsync，攻击者可以冒充域控制器，发起同步请求，获取其他用户的密码哈希。请注意，DCSync的使用需要满足特定的条件：

1.管理员权限：默认情况下，只有 Administrators 组、Domain Controllers 组以及 Enterprise Domain Admins 组内的用户才有权限使用DCSync。

2.特殊权限：除了以上途径，也可以通过在访问控制列表（ACL）中给普通用户添加指定权限（例如DS-Replication-Get-Changes和DS-Replication-Get-Changes-All），让其得以使用DCSync。

请详细讲一下ACL

ACL是访问控制列表，它是一种用于确保网络安全的技术，主要基于用户（或用户组）、网络地址、或者服务类型来限制通信。它的主要作用就是决定哪些用户可以访问或者操作某一资源。ACL的类型:

•基于访问源的ACL（Source-Based ACL）：根据数据包的源IP地址进行访问控制。

•基于访问目标的ACL（Destination-Based ACL）：根据数据包的目标IP地址进行访问控制。

•基于服务类型的ACL：根据所用的顶层协议，如TCP、UDP或ICMP进行访问控制。

ACL的基本组成：一个ACL通常由多个访问控制条目（Access Control Entry，ACE）组成，每个ACE包括：

•主体：定义了这个规则适用的用户或用户组。

•对象：确定了可以被主体访问或操作的资源。

•权限：说明了主体对对象可以执行的动作，如读（read）、写（write）、执行（execute）等。

ACL 在日常生活中的一般应用场景包括：对网络设备设置远程管理权限、设置网络设备的转发策略、在防火墙规则中进行详细的访问控制等。