一.域内基本信息收集
1.查询权限
使用whoami查看当前权限,有四种情况:
(1)本地普通用户:机器名\用户名
(2)本地管理员用户:机器名\administrator
(3)域内普通用户:域名\用户名
(4)域内管理员用户:域名\administrator
*在这四种情况中:
如果当前内网中存在那么多本地普通用户只能查询本机相关信息,不能查询域内信息;而本地管理员用户和域内用户可以查询域内信息!
2.判断域的存在
(1)命令ipconfig/all:显示本机ip全部信息
(2)systemInfo:显示关于计算机及其操作系统的详细配置信息
(3)net config workstation:显示工作站运行的相关信息
(4)net time /domain(域服务器都会同时作为时间服务器):
运行 net time /domain 该命令后,一般会有如下三种情况:
1.存在域,但当前用户不是域用户,提示说明权限不够
C:\Users>LEE>net time /domain
发生系统错误 5
拒绝访问。
2.存在域,并且当前用户是域用户
C:\Users\Administrator>net time /domain
\\dc.hack.com 的当前时间是 2020/10/23 21:18:37
命令成功完成。
3.当前网络环境为工作组,不存在域
C:\Users\Administrator>net time /domain
找不到域 WORKGROUP 的域控制器。
3.域内信息收集
1.查询所有域成员计算机列表
net group "domain computers" /domain
2.获取域信任信息
nltest /domain_trusts
二.定位域控的位置
1.查看域控制器的机器名
nltest /DCLIST:kack
2.查看域控制器的主机名
nslookup -type=SRV _ldap._tcp
3.查看当前时间
net time /domain
4.查看域控制器组
net group “Domain Controllers” /domain
三.获取域内用户
1.向域控制器进行查询
net user /domain
向域控制器DC进行查询,域内有多个用户。其中,krbtgt用户不仅可以创建票据授权服务(TGS)的加密密钥,还可以实现多种域内权限持久化方法
2.查询域管理用户
net group "domain admins" /domain
3.查询域管理员用户组
net group "Enterprise Admins" /domain
四.定位域管理员
1.psloggedom.exe工具
psloggedon.exe 可以显示本地登录的用户和通过本地计算机或远程计算机的资源登录的用户。
如果指定了用户名而不是计算 机,psloggedon.exe 会搜索网络邻居中的计算机,并显示该用
户当前是否已登录。
用法:psloggedon.exe [-] [-l] [-x] [\\computername或username]
2.PVEDFindADUser.exe
pveFindADUser.exe 可用于查找 AD用户登录的位置,枚举域用户,以及查找在 特定计算机上
登录的用户,包括本地用户、通过RDP 登录的用户、用于运行服务和计划任务的用户账户位置
用法:pvefindaduser.exe -curren
3.netview.exe
netview.exe 是一个枚举工具,使用 WinAPI 枚举系统
用法:
-h:显示帮助菜单。
-f filename.txt:指定从中提取主机列表的文件。
-e filename.txt:指定要排除的主机名文件。
-o filename.txt:将所有输出重定向到文件。
-d domain:指定从中提取主机列表的域。如果没有指定,则使用当前域。
-g group:指定用户搜寻的组名。如果没有指定,则使用 Domain Admins。
-c:检查对已找到共享的访问权限。
4.PowerView脚本
PowerView 脚本中包含了一系列的 powershell 脚本,信息收集相关的脚
本有 Invoke-StealthUserHunter、Invoke-UserHunter 等,
用法:powershell.exe -exec bypass -command "& { import-module .\PowerView.ps1;Invoke-UserHunter}"
五.敏感信息定位
内网的核心敏感数据,不仅包括数据库、电子邮件,还包括个人数据及组织的业务数据、技术数据等。可以说,价值较高的数据基本都在内网中重点核心业务机器;
高级管理人员 系统管理人员 财务/人事/业务人员的个人计算机
产品管理系统服务器
办公系统服务器
财务应用系统服务器
核心产品源码服务器(SVN/GIT服务器)
数据库服务器
文件服务器,
共享服务器
电子邮件服务器
网站监控系统服务器
信息安全监控服务器
生产工厂服务器
重点关注内容
站点源码备份文件,数据库备份文件等等
游览器保存的密码和游览器的cookie其他用户会话,3389和ipc$连接记录,回收站中的信息等等
Windows的无线密码网络内部的各种账号密码,包含电子邮箱,V**,FTP等等
指定目录下搜集各类敏感文件
dir /a /s /b d:\"*.txt"
dir /a /s /b d:\"*.xml"
dir /a /s /b d:\"*.mdb"
dir /a /s /b d:\"*.sql"
dir /a /s /b d:\"*.mdf"
dir /a /s /b d:\"*.eml"
dir /a /s /b d:\"*.pst"
dir /a /s /b d:\"*conf*"
dir /a /s /b d:\"*bak*"
dir /a /s /b d:\"*pwd*"
dir /a /s /b d:\"*pass*"
dir /a /s /b d:\"*login*"
dir /a /s /b d:\"*user*"
指定目录下的文件中搜集各种账号密码
findstr /si pass *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.bak
findstr /si userpwd *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.bak
findstr /si pwd *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.bak
findstr /si login *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.bak
findstr /si user *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.bak
内网的核心敏感数据,不仅包括数据库、电子邮件,还包括个人数据及组织的业务数据、技术数据等。可以说,价值较高的数据基本都在内网中!