判断域

命令汇总:

1
2
3
4
5
6
7
8
9
10
net view /domain 查询域列表
net time/domain 从域控查询时间,若当前用户是域用户会从域控返回当前时间,亦用来判 断主域,主域一般用做时间服务器
net localgroup administrators 本机管理员【通常含有域用户】
net user /domain 查询域用户(当前域)
net group /domain 查询域工作组
net group "domain computers" /domain 查看加入域的所有计算机名
net group "domain admins" /domain 查询域管理员用户组和域管用户
net localgroup administrators /domain 查看域管理员
net group "domain controllers" /domain 查看域控
net accounts /domain 查看域密码策略

定位域控

  • 通常域内主机 DNS 地址就是域控地址

  • 查看是否开启 53(DNS),88(kerberos),389(LDAP) 等端口

  • ping 域控计算机名

  • 利用nbtscan扫描识别,标注SHARING DC即为域控

  • 域控计算机名可以通过3389信息,如用户切换时的提示查看

  • 还可以通过smb嗅探

    1
    2
    3
    4
    5
    nltest /DCLIST:ak 查看域控制器的机器名
    Nslookup -type=SRV_ldap._tcp 查看域控制器的主机名
    net time /domain 查看当前时间,还可以看主域控
    net group "Domain Controllers" /domain 查看域控制器组
    netdom query pdc 查看域的主域控制器

    如果获得是一台不在域内的机器,可以通过端口扫描探测,开放389端口的机器,如果DC和DNS在同一个服务器也会开放53端口。
    image.png

    定位域管

    在域网络攻击测试中,获取域内的一个支点后,需要获取域管理员权限;定位域内管理员的常规渠道,一是日志,二是会话。
    常见域管理员定位工具:

  • psloggedon.exe

  • PVEFindADUser.exe

  • netview.exe

  • Nmap的NSE脚本

  • PowerView脚本

  • Empire的user_hunter模块

简单方法:

1
2
net group "Domain admins" /domain 查询域管理员用户
net group "Enterprise admins" /domain 查询管理员用户组

非域信息收集

信息收集包括操作系统、权限、内网IP地址段、杀毒软件、端口、服务、补丁更新频率、网络连接、共享、会话等。如果是域内主机,那么操作系统、应用软件、补丁、服务、杀毒软件一般都是批量安装的。

  • 查询网络配置信息
  • 查询操作系统及软件信息
  • 查询本机服务信息