內(nèi)網(wǎng)信息收集（二）

2020年真的是多災(zāi)多難的一年，上半年抗疫，下半年抗洪水。躲的過初一，躲不過十五，老家被水淹，新家也被水淹。天池就向被捅了一個(gè)窟窿，那水就嘩啦啦的往下趟，幸福感也嘩啦啦的往下掉。倒霉的總是蓄洪區(qū)，經(jīng)濟(jì)發(fā)展相對較慢，災(zāi)難來臨被戰(zhàn)略性舍棄。希望有關(guān)部門能夠重視災(zāi)備，多問幾個(gè)如果，如果災(zāi)難發(fā)生了，那么如何保障蓄洪區(qū)的財(cái)產(chǎn)安全？如何做好災(zāi)備的大安全運(yùn)營？這一點(diǎn)值得思考。

一、收集域內(nèi)基礎(chǔ)信息

1、查詢域（需要啟動(dòng)Computer Browser服務(wù)）

• 在Win7上操作啟用

• 在Win2012R2上操作啟用

net view /domain

2、查詢域內(nèi)所有計(jì)算機(jī)（然而只看到預(yù)控服務(wù)器）

net view /domain:HACKBIJI

3、查詢域內(nèi)所有用戶組列表（默認(rèn)13個(gè)組）

net group /domain

4、查詢所有域成員計(jì)算機(jī)列表（確實(shí)是所有成員的名字）

net group "domain computers" /domain

5、獲取域密碼信息（這個(gè)是密碼設(shè)置的要求）

net accounts /domain

6、獲取域信任信息

nltest /domain_trusts

二、查找域控制器

1、查看域控制器的機(jī)器名

nltest /DCLIST:HACKBIJI

2、查看域控制器的主機(jī)名

nslookup -type=SRV _ldap._tcp

3、查看當(dāng)前時(shí)間

net time /domain

4、查看域控制器組

net group "Domain Controllers" /domain

三、查詢所有域用戶列表

1、向域控制器進(jìn)行查詢（實(shí)用命令）

net user /domain

2、獲取域內(nèi)用戶的詳細(xì)信息（用戶名、描述、SID、域名、狀態(tài)）

wmic useraccount get /all

3、查詢本地管理員組用戶（2個(gè)用戶名，1個(gè)用戶組）

net localgroup Administrators

四、查詢域管理員用戶組

1、查詢域管理員用戶

net group "domain admins" /domain

2、查詢管理員用戶組

net group "Enterprise Admins" /domain

五、常用域管理員定位工具

1、psloggedon.exe

2、PVEFindADUser.exe

3、netview.exe

4、Nmap的NSE腳本

5、PowerView腳本

六、查找域管理進(jìn)程

1、獲取域管理員列表

net group "domain admins" /domain

2、列出本機(jī)的所有進(jìn)程及進(jìn)程用戶

tasklist /v

3、查詢域控制器列表

net group "Domain Controllers" /domain

4、收集域管理員列表

net group "Domain Admins" /domain

5、收集所有活動(dòng)域的會(huì)話列表（需要下載軟件）

NetSess.exe -h

6、交叉引用域管理員列表和活動(dòng)會(huì)話列表（需要下載腳本^[1]，下載腳本依賴軟件）

下載好所有軟件，之后添加環(huán)境變量，最后運(yùn)行，獲得幫助文檔。

GDA.bat -a

生成的結(jié)果會(huì)保存在文件中。

7、查詢遠(yuǎn)程系統(tǒng)中運(yùn)行的任務(wù)（不怎么靈）

FOR /F %i in (ips.txt) DO @echo [+] %i && @tasklist /V /S %i /U user /P password 2>NUL > output.txt && FOR /F %n in (names.txt) DO @type output.txt | findstr %n > NUL && echo [!] %n was found running a process on %i && pause

8、掃描遠(yuǎn)程系統(tǒng)的NetBIOS信息

for /F %i in (ips.txt) do @echo [+] Checking %i && nbtstat -A %i 2>NUL >nbsessions.txt && FOR /F %n in (admins.txt) DO @type nbsessions.txt | findstr /I %n > NUL && echo [!] %n was found logged into %i

查看掃描的結(jié)果：

六、利用Powershell收集信息

• 檢查Powershell狀態(tài)

• 將狀態(tài)修改成Unrestricted（需要管理員權(quán)限）

• 下載PowerView.ps1^[2]

• 導(dǎo)入PowerView.ps1，并運(yùn)行查詢命令

Get-NetDomain #獲取當(dāng)前用戶所在域的名稱

Get-NetUser #獲取所有用戶的詳細(xì)信息

Get-NetComputer #獲取域內(nèi)所有機(jī)器的詳細(xì)信息

Get-NetShare #獲取當(dāng)前域內(nèi)所有的共享信息

Get-ADObject #獲取活動(dòng)目錄的對象（內(nèi)容超級多）

Invoke-UserHunter #獲取域用戶登陸的計(jì)算機(jī)信息，以及該用戶是否有本地管理員權(quán)限

Invoke-ProcessHunter #通過查詢域內(nèi)所有的機(jī)器進(jìn)程找到特定用戶

還有很多命令等待你自己去探索～

完～

參考

1. ^GDA.bat下載地址?https://github.com/nullbind/Other-Projects/tree/master/GDA

2. ^PowerView.ps1下載地址?https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Recon/PowerView.ps1