內(nèi)網(wǎng)滲透之域內(nèi)信息收集
本文轉(zhuǎn)載自微信公眾號(hào)「Bypass」,作者Bypass。轉(zhuǎn)載本文請(qǐng)聯(lián)系Bypass公眾號(hào)。
當(dāng)獲取了一臺(tái)在域內(nèi)的Windows服務(wù)器權(quán)限,就需要我們盡可能地去收集所能獲取到的域的相關(guān)信息,收集的域的信息越多,拿下域控的成功率越高。
01、判斷是否存在域
(1)一般我們?cè)谶M(jìn)行本機(jī)信息收集,查詢IP網(wǎng)絡(luò)或系統(tǒng)信息時(shí),就很容易發(fā)現(xiàn)存在域控。
- ipconfig /all 命令
- systeminfo 命令
(2)查看當(dāng)前登錄域及域用戶
- net config workstation
(3)域服務(wù)器都會(huì)同時(shí)作為時(shí)間服務(wù)器,所以使用下面命令判斷主域。
- 運(yùn)行 net time /domain 該命令后,一般會(huì)有如下三種情況:
- 1.存在域,但當(dāng)前用戶不是域用戶,提示說(shuō)明權(quán)限不夠
- C:\Users>bypass>net time /domain
- 發(fā)生系統(tǒng)錯(cuò)誤 5
- 拒絕訪問(wèn)。
- 2.存在域,并且當(dāng)前用戶是域用戶
- C:\Users\Administrator>net time /domain
- \\dc.test.com 的當(dāng)前時(shí)間是 2020/10/23 21:18:37
- 命令成功完成。
- 3.當(dāng)前網(wǎng)絡(luò)環(huán)境為工作組,不存在域
- C:\Users\Administrator>net time /domain
- 找不到域 WORKGROUP 的域控制器。
02、查找域控制器
(1)一般來(lái)說(shuō),域控服務(wù)器IP地址為DNS服務(wù)器地址,找到DNS服務(wù)器地址就可以定位域控。
nslookup/ping 域名,解析到域控服務(wù)器IP地址
(2)查看域控制器的機(jī)器名
- nltest /DCLIST:test.com
(3)查看域控制器
- net group "Domain Controllers" /domain
3、獲取域內(nèi)用戶和管理員
(1)查詢域內(nèi)所有用戶組列表
- net group /domain
(2)查詢域管理員列表
- net group "Domain Admins" /domain
(3)獲取所有域用戶列表
- net user /domain
(4)獲取指定域用戶bypass的詳細(xì)信息
- net user bypass /domain
(5)查詢域內(nèi)置本地管理員組用戶
- net localgroup administrators /domain
04、定位域管理員
如果我們可以找到域管理員登錄了哪些服務(wù)器,就可以通過(guò)攻擊這些服務(wù)器并進(jìn)行嘗試?yán)茫垣@得域管理員權(quán)限。
(1)PowerView
PowerView.ps1集成在PowerSploit框架中,該腳本完全依賴于PowerShell和WMI查詢。
域用戶權(quán)限,能夠獲取的信息與用戶權(quán)限有關(guān),本地管理員用戶無(wú)法查詢。
下載地址:
- https://github.com/PowerShellEmpire/PowerTools
獲得所有域管理員的登錄位置信息:
(2)PsLoggedOn
PsLoggedOn是PSTools工具包中的一個(gè)小程序,它顯示本地登錄的用戶和通過(guò)本地計(jì)算機(jī)或遠(yuǎn)程計(jì)算機(jī)的資源登錄的用戶。
域用戶權(quán)限,本地管理員無(wú)法查詢。
下載地址:
- https://docs.microsoft.com/en-us/sysinternals/downloads/psloggedon
查看域控當(dāng)前登錄的用戶:
(3)PVEFindADUser
下載地址:
- https://github.com/chrisdee/Tools/tree/master/AD/ADFindUsersLoggedOn
使用域用戶執(zhí)行,查看域中所有計(jì)算機(jī)的登錄用戶:
05、查找域管理進(jìn)程
通過(guò)域管理員列表與本機(jī)進(jìn)程及進(jìn)程用戶進(jìn)行對(duì)比,就可以找到域管理員所運(yùn)行的進(jìn)程。
- net group "domain admins" /domain //獲取域管理員列表
- tasklist /v //列出本機(jī)所有進(jìn)程和進(jìn)程用戶
