域環(huán)境下的信息搜集（詳細(xì)）

單域環(huán)境

查看域環(huán)境用戶

查看時(shí)間/dns服務(wù)器(一般為域控)

net time /domain /net view /domain

shell net group "Domain Controllers" /domain

查看域控制器

可以得到域控制器IP地址

域控還可能開放88 Kerberos 協(xié)議,01389 ldap,

DNS 53 如果存在EXECHANGE 郵件服務(wù)器那么也開放了25還有我們熟悉的139,445.

查看身處在哪個(gè)域

net config workstaon

shell nltest /dclist:de.org 同樣可以得到域控地址net group "domain admins" /domain 查看域管有哪些

信息收集:

確定存在內(nèi)網(wǎng)后可以使用

for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.1.%I | findstr "TTL=“

該命令批量ping 出存活的IP ,如果沒有存在策略限制一般Ping出存貨的IP都可以進(jìn)行端口掃描等操作。

同等可以使用 nbtscan /fscan等內(nèi)網(wǎng)掃描工具替代。

查看net use 有沒有IPC連過來的機(jī)器

cmdkey /list 用戶憑據(jù)

可以再

 net view \\xx

查看有沒有開啟共享目錄。

之后可以查看一下用戶進(jìn)程查看有沒有其他用戶進(jìn)程可以注入/竊取。

echo %logonserver% 查看當(dāng)前登錄域 quser 可以查詢 當(dāng)前在線的user

插播tips(3389 system權(quán)限 tscon 加id可以直接切換用戶無需知道密碼)。

查找 文件 dir /s /b xxxx.exe

插播tips2:

如果不知道web目錄可以拿一個(gè)web的js來定位web位置

cmd /c "for /f "delims=" %i in ('dir /s /b c:bsa.js') do (echo %i> %i.path.txt)&(ipconfig > %i.ipconfig.txt)"

會(huì)在 js下生成一個(gè)txt 里邊有web的目錄地址域控常見命令:

dsquery server - 查找目錄中的 AD DC/LDS 實(shí)例dsquery user - 查找目錄中的用戶dsquery computer 查

主機(jī)發(fā)現(xiàn)系列:

查看內(nèi)網(wǎng)其他IP 3389 的登錄記錄

 arp -a

如何使用域用戶查看當(dāng)前用戶機(jī)器？用戶登錄主機(jī)？

ADfind.exe,Psloggedon.exe,PvefindADuser.exe,powerview.

ADfind使用方法

查看DC機(jī)器

查看域內(nèi)在活動(dòng)的機(jī)器

AdFind.exe -sc computers_active name dnshostname

查看詳細(xì)域內(nèi)機(jī)器

shell AdFind.exe -b dc=tide,dc=org -f "objectcategory=computer"

查看能登陸的389以及機(jī)器

shell AdFind.exe -h 192.168.100.10 -sc u:tideone userWorkstations

使用PVEFindaduser查看當(dāng)前用戶胡登錄的主機(jī)

shell PVEFindaduser -current -nopingPVEFindADuser -current -target 192.168.91.133 查看指定IP的登錄記錄

PVEFindADuser -last 查看上次