內(nèi)網(wǎng)滲透之域內(nèi)信息收集

當(dāng)獲取了一臺在域內(nèi)的Windows服務(wù)器權(quán)限，就需要我們盡可能地去收集所能獲取到的域的相關(guān)信息，收集的域的信息越多，拿下域控的成功率越高。

01、判斷是否存在域

（1）一般我們在進(jìn)行本機(jī)信息收集，查詢IP網(wǎng)絡(luò)或系統(tǒng)信息時，就很容易發(fā)現(xiàn)存在域控。

ipconfig /all 命令

systeminfo 命令

（2）查看當(dāng)前登錄域及域用戶

net config workstation

（3）域服務(wù)器都會同時作為時間服務(wù)器，所以使用下面命令判斷主域。

運行 net time /domain 該命令后，一般會有如下三種情況:
1.存在域，但當(dāng)前用戶不是域用戶，提示說明權(quán)限不夠  C:\Users>bypass>net time /domain  發(fā)生系統(tǒng)錯誤 5  拒絕訪問。
2.存在域，并且當(dāng)前用戶是域用戶   C:\Users\Administrator>net time /domain   \\dc.test.com 的當(dāng)前時間是 2020/10/23 21:18:37
   命令成功完成。
3.當(dāng)前網(wǎng)絡(luò)環(huán)境為工作組，不存在域   C:\Users\Administrator>net time /domain   找不到域 WORKGROUP 的域控制器。

02、查找域控制器

（1）一般來說，域控服務(wù)器IP地址為DNS服務(wù)器地址，找到DNS服務(wù)器地址就可以定位域控。

nslookup/ping 域名,解析到域控服務(wù)器IP地址

（2）查看域控制器的機(jī)器名

nltest /DCLIST:test.com

（3）查看域控制器

net group "Domain Controllers" /domain

3、獲取域內(nèi)用戶和管理員

（1）查詢域內(nèi)所有用戶組列表

net group /domain

（2）查詢域管理員列表

net group "Domain Admins" /domain

（3）獲取所有域用戶列表

net user /domain

（4）獲取指定域用戶bypass的詳細(xì)信息

net user bypass /domain

（5）查詢域內(nèi)置本地管理員組用戶

net localgroup administrators /domain

04、定位域管理員

如果我們可以找到域管理員登錄了哪些服務(wù)器，就可以通過攻擊這些服務(wù)器并進(jìn)行嘗試?yán)茫垣@得域管理員權(quán)限。

（1）PowerView

PowerView.ps1集成在PowerSploit框架中，該腳本完全依賴于PowerShell和WMI查詢。

域用戶權(quán)限，能夠獲取的信息與用戶權(quán)限有關(guān)，本地管理員用戶無法查詢。

下載地址：

https://github.com/PowerShellEmpire/PowerTools

獲得所有域管理員的登錄位置信息：

（2）PsLoggedOn

PsLoggedOn是PSTools工具包中的一個小程序，它顯示本地登錄的用戶和通過本地計算機(jī)或遠(yuǎn)程計算機(jī)的資源登錄的用戶。

域用戶權(quán)限，本地管理員無法查詢。

下載地址：

https://docs.microsoft.com/en-us/sysinternals/downloads/psloggedon

查看域控當(dāng)前登錄的用戶：

（3）PVEFindADUser

下載地址：

https://github.com/chrisdee/Tools/tree/master/AD/ADFindUsersLoggedOn

使用域用戶執(zhí)行，查看域中所有計算機(jī)的登錄用戶:

05、查找域管理進(jìn)程

通過域管理員列表與本機(jī)進(jìn)程及進(jìn)程用戶進(jìn)行對比，就可以找到域管理員所運行的進(jìn)程。

net group "domain admins" /domain   //獲取域管理員列表tasklist /v        //列出本機(jī)所有進(jìn)程和進(jìn)程用戶