域渗透（一）-域环境搭建

前言

听说蜗牛学苑的内网渗透最近更新了，通宵补了补这方面的知识，还把B站刚更的课程各种三连，不过说实话，听了强哥说的几番话还是颇有感触的，又想起了那句话：其实安全从来都不缺人，真正缺的是正儿八经愿意塌下心来，认认真真搞技术的人，对我自己来说，域渗透一直是最弱的项，所以更应该好好学习了

把课程消化完后，个人也连夜设计了一套域环境（这么好的课程当然要好好珍惜），环境比较有普适性，适合课程中95%的复现场景，其实域环境的搭建没有那么复杂，心平气和的把环境慢慢搭起来，大不了多花点时间，搭完之后还是挺有成就感的，搭建过程中也会慢慢的了解了各种windows server，感受windows server的魅力

镜像

kali可以去kali的官网下载，kali也出了2023版的，可以用2023的

centos在阿里云的镜像库下载

各种windows在msdn上

这里的镜像一共是6个，centos装好ssh以后，再克隆一个就好了

kali-linux-2022.2-vmware-amd64.7z
CentOS-7-x86_64-DVD-2003.iso
cn_windows_7_ultimate_with_sp1_x64_dvd_u_677408.iso
cn_windows_server_2008_standard_enterprise_and_datacenter_with_sp2_x64_dvd_x15-41319.iso
cn_windows_server_2012_r2_vl_x64_dvd_2979220.iso
cn_windows_server_2016_x64_dvd_9718765.iso

环境配置

1.关闭防病毒、防火墙，windows开启远程桌面，因为有些server的镜像装不了vmware tools，只能mstsc拷贝进去

2.强烈建议先用NAT模式把所有后面使用过的工具提前在每台服务器上都安装好，当然如果熟悉vmware各种网络配置的，也可以在临时需要安装的时候修改网络配置，再进行安装，安装完把网络调整回来也不是不行

3.整个域控包括域或者dmz，或者外网的环境搭建下来，包括记录花了我一周的时间，因为像是很多隧道建立，包括DNS这种，我想了很久，从原理上未必非得使用公网，所以我还是没有用公网的环境，就是统一使用本地的虚拟机，灵活运用vmware的三种模式：NAT模式、桥接模式、仅主机模式来模拟内外网，模拟各种隧道建立的场景

最后，在搭建环境的时候一定要有耐心，如果环境搭建通了，后面的很多实验操作都会很顺利，所谓工欲善其事必先利其器，各位加油！

把握好三种网络模式的特性

仅主机模式：只有宿主机能连接虚拟机，仅主机模式之间也可以连接（我的环境中，只有仅主机模式配置了固定IP，其他都是自动获取的IP）

NAT：是通过宿主机进行网络通信，所以NAT的虚拟机可以主动访问仅主机模式的虚拟机，仅主机模式和桥接不能主动访问NAT

桥接：和宿主机一个网段，但是无法连接仅主机模式的虚拟机

我的环境如下，宿主机三块网卡都是自动获取，仅主机模式的虚拟机全部设置固定IP，仅主机的DNS都指向域控，因为域控也是DNS服务器

域：student.com

模拟外网
kali：桥接
192.168.2.67

DMZ区
win2016两块网卡：仅主机+桥接
网卡1：192.168.10.5
网卡2：192.168.2.66
本地管理员administrator
密码0-p0-p0-p

centos7-1：NAT
网卡：192.168.174.134

centos7-2两块网卡：仅主机+桥接
网卡1：192.168.10.6
网卡2：192.168.2.75

域成员
win2008：仅主机
192.168.10.3
主机名server
本地管理员administrator
密码0-p0-p0-p
域用户web
密码p-0p-0p-0

域成员
win7：仅主机
192.168.10.4
主机名win7
本地管理员administrator
密码o0-o0-o0-
域用户win7
密码p-0p-0p-0

域控
win2012：仅主机
192.168.10.2
主机名dc
域管理员administrator
密码p-0p-0p-0

宿主机网络配置

VMNet1（仅主机）和VMnet8（NAT）是自动获取，本地以太网是配的静态，这没啥说的

VMNet1（仅主机）

VMnet8（NAT）

本地以太网

vmware网络配置

虚拟机网络配置

kali是桥接自动获取的IP不用说，主要说的是仅主机的几台

域控win2012

win2016

桥接

仅主机

centos7-2

在配置centos7-1和centos7-2之前，强烈建议先单开一块网卡，在这两台虚拟机上，先把frp、pingtunnel和iodine安装完成，这三个是需要编译的，等到环境比较复杂的时候再装，稍微有点考验网络，别问我为什么知道

桥接

仅主机

这里注意DNS1是指向192.168.10.2，指向的是域控，其实都是块仅主机模式的网卡了，DNS指向谁无所谓，但是为了做后面的DNS隧道，模拟公网环境，这里还是需要指向域控

centos7-1

NAT

这里注意DNS1是指向192.168.10.2，指向的是域控，其实都是块仅主机模式的网卡了，DNS指向谁无所谓，但是为了做后面的DNS隧道，模拟公网环境，这里还是需要指向域控

win2008

仅主机

win7

仅主机

服务器配置

这里先安利一个我自己搭建过程中的小诀窍，都知道vmware想要拷贝文件进去需要安装vmware tools，有些windows镜像很老了，像是域控、win7等等等等，需要装补丁，才能安装vmware tools，我们统一一下使用方式，凡是域用户的都是用vmware的控制台登录，凡是本地管理员用户，都使用远程桌面登录，这样，有两个好处：

一来可以两个用户同时登录，在后面复现各种黄金票据/白银票据、约束性票据/非约束性票据漏洞的时候不会那么乱

二来，vmware tools装不上就算了，远程桌面可以拷贝，而且是本地管理员，可以拷贝上去，直接拖到域用户的桌面文件夹上面，简直不要太便捷

各位在服务器配置过程中，可以多打快照，这样会减少很多不必要的时间，以空间换时间，别问我为什么知道的，我这里调整了主机名，我是把域控主机名设置为了dc，win2008设置为了server

安装域控

我这里的截图还是以前用win2016搭建的，其实配置都一模一样

win2012上设置域控，添加角色和功能，一路下一步

服务器角色勾选AD域服务，点击添加功能

一路下一步

注意计算机名要是自己改过的

在属性里也能看到，没有加域的情况下，计算机名和全名一样，当然也可以点击右边的更改设置进行主机名的修改

点击右上小黄旗，提升为域控

我们目前没有域，所以就是添加新林，根域名为test.com，以前我配置的域是test，现在要改成student.com了

DNS为默认安装，毕竟有域嘛，再设置一个还原密码，第一台域控全局编录是必须安装的（性能，认证）

DNS创建委派不用勾，直接就是DNS服务器了，所以直接下一步

NetBIOS域名，默认就是前面写好的域名，这里应该是STUDENT

直接下一步

如果没有红色的ERROR，就直接点安装

然后就会自动重启，就能看到test域了（应该是student域），这个本地管理员administrator账号也自动升级变成了域管理员，我们依然用administrator的密码登录好

点击右上角工具->用户和计算机，可以看到整个域的信息

这里创建域账户web和win7，后面会用到，密码建议永不修改，毕竟是实验

域控建议装一下IIS吧

域成员

两个域成员win7和win2008按照这种方式，加入student.com域

更改域

改为student.com域

这里需要输入刚刚在域控上添加的域账户

工具清单

这里为什么要单独列这一章节，就是想提前把工具准备好，免得用的时候，东找不到，西找不到的，然后放弃，所以这些工具尤其是linux下的，建议提前拷贝到两台centos上编译不报错

linux

Neo-reGeorg

https://gitcode.net/mirrors/L-codes/Neo-reGeorg

EarthWorm，本工具已不再维护

https://gitee.com/aveng/EarthWorm/tree/master/download
https://github.com/mrawb/ew

frp

https://github.com/fatedier/frp/releases

icmpsh

https://github.com/inquisb/icmpsh.git

pingtunnel

http://www.cs.uit.no/~daniels/PingTunnel/#download

iodine

https://github.com/yarrick/iodine

web服务，xampp

windows

Neo-reGeorg

https://gitcode.net/mirrors/L-codes/Neo-reGeorg

windows下ssh服务

https://github.com/PowerShell/Win32-OpenSSH/releases

EarthWorm，本工具已不再维护

https://gitee.com/aveng/EarthWorm/tree/master/download
https://github.com/mrawb/ew

frp

https://github.com/fatedier/frp/releases

icmpsh

https://github.com/inquisb/icmpsh.git

powershell icmp

https://github.com/samratashok/nishang

域渗透工具包

https://github.com/gentilkiwi/mimikatz
https://github.com/abatchy17/WindowsExploits/tree/master/MS14-068
https://docs.microsoft.com/en-us/sysinternals/downloads/pstools
https://github.com/mai-lang-chai/AD-Penetration-Testing-Tools
https://github.com/shanfenglan/test

web服务，xampp

总结

到这里，相信你的域环境也已经成功创建，可以简单做一下调试

桥接模式的之间都能ping通，kali服务器ping不通仅主机模式的

仅主机模式的之间都能ping通，也能ping通我们设置的域student.com

NAT模式可以ping通所有，当然也能ping通我们设置的域student.com

其实在这个域环境中，只需要桥接和仅主机两种网络模式就可以模拟内外网，包括DMZ，为什么要单独加一台centos7-1，而且是NAT模式的呢？

正常来看网络架构里面kali是外网，但是有很多像是反向代理的例子，比如frp，或者DNS隧道这种例子，一般情况是需要一台公网服务器的，就像我们家里的网络，内网服务器可以访问公网的服务，公网服务器缺不能直接访问内网的服务，考虑到环境的普适性，总不能每个人都买一台公网ECS，买个域名吧

我这里做了个反向思维，既然环境是内网可以访问公网的服务，公网无法直接访问内网，这样的场景，不就是NAT模式的虚拟机能访问仅主机模式的虚拟机，仅主机模式的虚拟机不能访问NAT模式的虚拟机吗，这里不就能把NAT模式的虚拟机当成是“内网”服务器，把仅主机模式的虚拟机当成是“公网”服务器，而NAT模式和仅主机模式都能访问仅主机模式的域控，不就可以通过这样，不需要公网的情况下，完成frp和DNS穿透的实验咯