作者: r0n1n
免責宣告:本文僅供學習研究,嚴禁從事非法活動,任何后果由使用者本人負責,
0x01 簡介
在網路攻防實戰中資訊收集的深度與廣度以及對關鍵資訊的提取,影響了后續的方向和手法,資訊收集將會貫穿整個滲透程序,因為滲透的本質就是資訊收集,
0x02 單域環境

0x03 多域環境
域森林:若干個域樹通過建立信任關系組成的集合,它可以通過域樹之間建立的信任關系來管理和使用整個森林中的資源,從而又保持了原有域自身獨立的特性,
域樹中的域層次越深級別越低,一個.代表一個層次,如域server.god.com 就比 god.com這個域級別低,因為它有兩個層次關系,而god.com只有一個層次,god.com為域樹,

0x04 作業組與域環境
作業組是一群計算機的集合,它僅僅是一個邏輯的集合,各自計算機還是各自管理的,如果要訪問其中的某臺計算機,要到被訪問計算機上來實作用戶驗證,
域環境則不同,域是一個有安全邊界的計算機集合,在同一個域中的計算機彼此之間已經建立了信任關系,因此在域內訪問其他機器,不需要被訪問機器的許可,
由于這種區別,從而導致的攻擊的手法不同,ARP欺騙DNS欺騙只在作業組有效,
1、DMZ
在實際的滲透測驗中,大多數情況下,在web環境中拿到的權限都在DMZ中,這個區域不屬于嚴格意義上的內網,如果訪問控制策略配置合理,DMZ就會處在從內網能夠訪問DMZ,而從DMZ訪問不能進入內網的狀態,
2、內網
內網中包括很多服務器、辦公電腦等,辦公區的安全防護水平通常不高,基本的防護機制大多數為殺毒軟體或主機入侵檢測產品,
服務器、域控制器的防護比較強,我們主要的目標是要拿下域控制器,要拿下域控前期的資訊收集就顯得格外重要,
AD域控制器一般只安裝在Windows server上面,linux作業系統一般很少會被當成域控制器,因為管理起來特別麻煩,功能也比較少,不過linux上也有相應的活動目錄的,可是要裝LDAP這個環境,一般企業很少會用LDAP來管理的,功能上不及域強大,
0x05 主機資訊收集
1、本機資訊
ipconfig /all
//查看計算機版本、補丁編號等資訊,后續是否提權做支撐
systeminfo
//查看行程串列
tasklist
//補丁資訊
wmic qfe
//作業系統型別
wmic os
//機器運行資訊(包含開機)
net statistics workstation
//查看系統架構
echo %processor_architecture%
set process
//查看防火墻的配置資訊
netsh firewall show config
//查看是否能修改洗掉日志
wmic nteventlog get path,filename,writeable

//查看當前在線用戶
quser
//查看本地用戶
net user
//查看本機管理員
net localgroup administrators
//查詢安裝軟體的名稱,以及版本
wmic product get name,version
//product get支持的引數
AssignmentType Caption Description HelpLink HelpTelephone
IdentifyingNumber InstallDate InstallDate2 InstallLocation
InstallSource InstallState Language LocalPackage Name
PackageCache PackageCode PackageName ProductID RegCompany
RegOwner SKUNumber Transforms URLInfoAbout URLUpdateInfo
Vendor Version WordCount
//powershell方法
powershell "Get-WmiObject -class Win32_Product |Select-Object -Property name,version"

2、殺軟相關
WMIC /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName /Format:List
WMIC /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName,productState,pathToSignedProductExe

3、網路相關
//埠
netstat -ano
//路由及arp
route print
arp -a
type c:\Windows\system32\drivers\etc\hosts
//查看Wi-Fi密碼
netsh wlan show profile
netsh wlan show profile name="313" key=clear
//網路判斷
icmp:ping 命令
dns:lookup
http:curl或者telent

4、計劃任務
//查看計劃任務
schtasks
//來查看目標主機上的計劃任務資訊
schtasks /query /fo LIST /v
5、服務相關
//自啟動服務
wmic startup get command, caption
//已經啟動的服務
net start
//本機服務
wmic service list brief

6、資訊收集腳本
https://raw.githubusercontent.com/braeden/Batch-Infogather/master/Infogather.bat
0x06 域資訊收集
1、查看當前域環境資訊
net config workstation

2、查看建立的連接
net use
3、查看映射連接
net share
4、查看域內共享資源
//查看域環境/局域網的所有的PC名稱
net view
//查看所有的域
net view /domain:主機名
5、查看域時間
net time /domain
net time /domain:域名
//同步時間
net use \\ip "密碼" /user:"用戶"
net time \\ip /set
6、定位域控
net time
ping 域名
nslookup 域名
net time /domain:域名
nslookup -type=all _ldap._tcp.dc._msdcs.域名.com
net group "domain controllers" /domain
SPN:服務主體名稱,使用Kerberos為服務器注冊SPN,因此可以在內網中掃描SPN,快速尋找內網中注冊的服務,SPN掃描可以規避像埠掃描的不確定性探測動作,主要使用setspn命令,
利用Windows自帶的setspn命令,普通域用戶權限執行即可:
//查看spn,也可以定位域控
setspn -T god.com -Q */*

7、查看域成員相關
//當前用戶權限
whoami /all
//域控
net group "domain controllers" /domain
//域用戶
net user /domain
//域用戶詳細資訊
wmic useraccount get /all
//域用戶密碼策略
net accounts /domain
----------------------------------------------------
###域用戶在執行修改賬戶型別等操作時,本地用戶則不受域控制器的控制
//獲取本地用戶組資訊
net localgroup
//獲取域用戶組資訊
net group /domain
//查看域用戶組里面的成員
net “Domain users” /domain
//查詢域管理員用戶組里面的成員
net group “Domain Admins” /domain
net group “Enterprise Admins” /domain
//系統默認常見身份
Domain Admins :域管理員(默認對域控制器有完全控制權)
Domain Computers :域內機器
Domain Controllers :域控制器
Domain Users :域用戶
Domain Guest : 域訪客,權限低
Enterprise Admins :企業系統管理員用戶
-----------------------------------------------
//獲取域信任資訊
nltest /domain_trusts

8、其他
//遠程桌面連接歷史
cmdkey /l
//獲取環境變數
wmic environment get name,VariableValue
//添加普通域用戶
net user lemon iam@L3m0n /add /domain
//將普通域用戶提升為域管理員
net group "Domain Admins" lemon /add /domain
9、Adfind工具
//列出域控制器名稱
AdFind.exe -sc dclist
//查詢當前域中在線的計算機
AdFind.exe -sc computers_active
//查詢當前域中在線的計算機(只顯示名稱和作業系統)
AdFind.exe -sc computers_active name operatingSystem
//查詢當前域中所有計算機
AdFind.exe -f "objectcategory=computer"
//查詢當前域中所有計算機(只顯示名稱和作業系統)
AdFind.exe -f "objectcategory=computer" name operatingSystem
//查詢域內所有用戶
AdFind.exe -users name
//查詢所有GPO
AdFind.exe -sc gpodmp

GPO:組策略物件,GPO(Group Policy Object),實際上就是組策略設定的集合,GPO可以輕松幫組你完成把windows的加密的密碼傳送改為非加密的密碼傳送,
點擊開始-程式-管理工具-Active Directory用戶和計算機,右擊所在域(本例是wupanlan.com)-屬性-組政策,點擊default domain policy,選擇編輯進入GPO視窗,
選擇計算機配置-windows設定-本地策略-安全選項,將“發送為加密的的密碼連接到第三方samba服務器“選項設定為enable,
GPO的相關用法:
蜘蛛池、DDOS,黑灰產…等,膽子有多大,玩的會越花,
0x07 總結
以上就是自身理解的維度和從互聯網上學習而來,并且凝練出自身的一套體系,應該會有遺漏的地方,歡迎各位大佬師傅補充,后臺可以私信我,
0x08 了解更多安全知識
歡迎關注我們的安全公眾號,學習更多安全知識!!!
歡迎關注我們的安全公眾號,學習更多安全知識!!!
歡迎關注我們的安全公眾號,學習更多安全知識!!!

轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/301681.html
標籤:其他
