1、判断是否有域
- ipconfig /all
- nslookup domain_name
- systeminfo
- net config workstation
- net time /domain
通过net time /domain这条命令,依据命令回显结果,可以对当前用户做出区分:
1、在域内,是域用户
2、在域内,但不是域用户
3、不在域内
2、域内存活主机探测
- 利用netbios快速探测内网
- 工具:nbtscan(Windows、Linux)
- 使用方法:nbtscan.exe IP。如:nbtscan.exe 192.168.1.0/24
- 使用注意:要避免触发防护;使用vbs、ps1脚本;
nbtscan Token | Meaning |
SHARING | 该机器有运行文件和打印共享服务,但不一定有内容共享 |
DC | 该机器有可能是域控制器 |
U=user | 该机器有登录名为user登录的用户,不是太准备 |
IIS | 该机器可能安装了IIS服务器 |
EXCHANGE | 该机器可能安装了微软的EXCHANGE |
NOTES | 该机器可能安装了IBM的Lotus Notes(电子邮件客户端) |
? | 没有识别出该机器NETBIOS资源,可以使用-f选项再进行扫描 |
- 利用ICMP协议快速探测内网
- ping命令:for /l %i in (1,1,255) do @ping 192.168.1.%i -w 1 -n 1 | find /i "TTL"
-
vbs脚本:
- 利用arp扫描完整探测内网
- arp-scan: 使用arp-scan.exe -t 192.168.1.0/24 下载:https://github.com/QbsuranAlang/arp-scan-windows-/tree/master/arp-scan
- Invoke-ARPScan.ps1:Nishang中的脚本。可以以三种方式执行:远程下载执行、本地运行、无条件运行(内存中执行)。
- Empire中的arpscan模块
- 利用常规TCP、UDP端口扫描探测内网
- scanline
3、域内端口扫描
在扫描时要注意是否会触发IDS,要控制扫描的频率和速度。建议使用.ps1、wmi。
- telnet命令:win7默认情况下是没有安装telnet服务。
- s扫描器:s.exe(对于高版本系统,在使用时,可能会报错弹框)
- MSF:nmap、portscan
- Invoke-portscan.ps1:powersploit下的一个脚本。
4、域内基础信息收集
本地用户中,只用system权限可以查询域信息。
net view /domain
net view /domain:domain_name
net view /domain:WORKGROUP
net group /domain
net accounts /domain
nltest /domain_trusts
nas存储服务器、app Web服务器、DEV开发服务器,不一定准确,有一定概率是。
5、域控制器的查找
nltest /DCLIST:Domain_name
Nslookup -type=SRV _ldap._tcp
net time /domain
net group "Domain Controllers" /domain
netdom query pdc
6、域内用户和管理员的获取
net group "domain admins" /domain
net group "Enterprise Admins" /domain
wmic useraccount get /all
net localgroup administragors /domain