參考書籍《內網安全攻防》.徐焱 賈曉璐 著
如有侵權,請聯系,立刪
收集域內基礎資訊
需要域用戶或system權限
1.查詢域
net view /domain
需要關閉防火墻執行
2.查詢域內所有計算機
net view /domain:GOD //GOD為查詢到的域 根據實際修改
3.查詢域內所有用戶組串列
net group /domain
4.查詢所有域成員計算機串列
net group "domain computers" /domain
5.獲取密碼資訊
net accounts /domain
6.獲取域信任資訊
nltest /domain_trusts
查找域控制器
1.查看域控制器的機器名
nltest /DCLIST:GOD //GOD為查詢到的域 根據實際修改
2.查看域控制器的主機名
nslookup -type=SRV _1dap._tcp
3.查看當前時間
通常情況下時間服務器作為主域控制器
net time /domain
4.查看域控制器組
net group "Domain Controllers" /domain
發現機器名為GOD的域控制器
server的服務器上可執行
netdom query dc
獲取域內的用戶和管理員資訊
查詢所有域用戶串列
1.向域控制器進行查詢
執行如下命令,向域控制器進行查詢,其中krbtgt用戶不僅可以創建票據傳授權服務(TGS)的加密密鑰,還可以實作多種域內權限持久化方法
net user /domain
或
net group "Domain users" /domian
2.獲取域內用戶的詳細資訊
wmic useraccount get /all
3.查看存在的用戶
dsquery user //在server服務器上可執行
常用dsquery命令
dsquery computer 查找目錄中的計算機
dsquery contact 查找目錄中的聯系人
dsquery subnet 查找目錄中的子網
dsquery group 查找目錄中的組
dsquery ou 查找目錄中的組織單位
dsquery site 查找目錄中的站點
dsquery server 查找目錄中的AD DC/LDS實體
dsquery user 查找目錄中的用戶
dsquery quota 查找目錄中的配額規定
dsquery partition 查找目錄中的磁區
dsquery * 用通用的LDAP查詢來查找目錄中的任何物件
4.查詢本地管理員組用戶
net localgroup administrators
可以看到本地管理員組內有3個用戶1個組
查詢域管理員用戶組
1.查詢域管理員用戶
net group "domain admins" /domain
2.查詢域管理員用戶組
net group "Enterprise Admins" /domain
定位域管理員
當計算機被加入域后,系統會自動將域管理員組添加到本地系統管理員組中,因此域管理員組的成員均可訪問本地計算機,且具備完全控制權限,在環境復雜的內網中定位域管理員會事半功倍,假設已經在Windows域中取得了普通用戶權限,希望在域內橫向移動,需要知道域內用戶登錄位置、他是否是任何系統的本地管理員、他所屬的組、他是否有權訪問檔案共享等,列舉主機、用戶和組,有助于更好的了解域的布局
1.psloggedon.exe
使用psloggedon.exe指定計算機名可以查看本地登錄用戶和通過本地計算機或遠程計算機的資源登錄用戶,如果指定的是用戶名,psloggedon.exe會搜索網路鄰居中的計算機,并顯示該用戶當前是否是已登錄,其原理是通過檢查注冊表HKEY_USERS項的key值來查詢誰登陸過,某些功能需要管理員權限才能使用
psloggedon.exe [-] [-l] [-x] [\\computername | username]
-:顯示支持的選項和用于輸出值的單位
-l:僅顯示本地登錄,不顯示本地和網路資源登錄
-x:不顯示登錄時間
\\computername:指定要列出登錄資訊的計算機名
username:指定用戶名,在網路中搜索該用戶登錄的計算機
2.PVEFindADUser.exe
運行該工具的計算機需要配置.NET Framework2.0環境,并且需要管理員權限
PVEFindADUser.exe -current
-h:顯示幫助資訊
-current["username"]:如果僅指定-current引數,將獲取目標計算機上當前登錄的所有用戶,如果指定了用戶名(Domain\Username),則顯示該用戶登錄的計算機
-last["username"]:如果僅指定-last引數,將獲取目標計算機上最后一個登錄用戶,如果指定了用戶名(Domain\Username),則顯示此用戶上次登錄的計算機,根據網路的安全策略,可能會隱藏最后一個登錄用戶的用戶名,此時使用該工具可能無法得到用戶名
-noping:阻止該工具在獲取用戶登陸資訊之前對目標執行ping命令
-target:可選引數,用于指定要查詢的主機,如果未指定該引數,將查詢域中的所有主機,如果指定了此引數,主機名串列由逗號分隔
直接運行"pvefindaduser.exe -current",即可顯示域中所有計算機上當前登錄的用戶
3.netview.exe
netview.exe是一個列舉工具,使用WinAPI列舉系統
-h:顯示幫助資訊
-f filename.txt:指定要提取主機串列上的檔案
-e fliename.txt:指定要排除的檔案
-o filename.txt:將所有輸出重定向到指定檔案
-d domain:指定要提取主機串列的域,如果沒有指定,則從當前域中提取主機串列
-g group:指定搜索的組名,如果沒有指定,則從Domain Admin組中搜索
-c:對已找到的共享目錄/檔案的訪問權限進行檢查
4.nmap的NSE腳本(smb-enum-session.nse)
nmap --script=smb-enum-sessions ip
5.PowerView腳本
powershell.exe -exec bypass -Command "& {Import-Module C:\users\administrator\desktop\powerview.ps1;Invoke-UserHunter}"
// 更多PowerView命令引數
Get-NetDomain: 獲取當前用戶所在域的名稱
Get-NetUser: 獲取所有用戶的詳細資訊
Get-NetDomainController: 獲取所有域控制器的資訊
Get-NetComputer: 獲取域內所有機器的詳細資訊
Get-NetOU: 獲取域中的OU資訊
Get-NetGroup: 獲取所有域內組和組成員資訊
Get-NetFileServer: 根據SPN獲取當前域使用的檔案服務器資訊
Get-NetShare: 獲取當前域內所有網路共享資訊
Get-NetSession: 獲取指定服務器的會話
Get-NetRDPSession: 獲取指定服務器的遠程連接
Get-NetProcess: 獲取遠程主機的行程
Get-UserEvent: 獲取指定用戶的日志
Get-ADObiect: 獲取活動目錄的物件
Get-NetGPO: 獲取域內所有的組策略物件
Get-DomainPolicy: 獲取域默認策略或域控制器策略
Invoke-UserHunter: 獲取域用戶登錄的計算機資訊及該用戶是否有本地管理員權限
Invoke-ProcessHunter: 通過查詢域內所有的機器行程找到特定用戶
Invoke-UserEvenHunter: 根據用戶日志查詢某域用戶登錄過哪些域機器
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/135435.html
標籤:其他
上一篇:內網滲透--資訊收集(一)
下一篇:內網滲透--資訊收集(三)