域内横向总结系列-域内信息收集

本系列为内网横向系列，目前共有七个系列，分别是今天的域内信息搜集和基于IPC连接的横向移动、基于PTH横向移动、基于PTT横向移动、基于PTK横向移动、攻击域控、其他内容，这七个系列，目前所有靶场都是网络下载，例如红日等等靶场，后期如果效果较好可能会出一套靶场供大家练习。
先说一下什么是横向移动，引用微软文档内的一段话：横向移动是指攻击者使用非敏感账户通过网络获取对敏感账户的访问权限。攻击者使用横向移动来识别和获取对网络中共享账户、组和计算机中存储的登录凭证的敏感账户和计算机的访问权限。一旦攻击者成功地向关键目标进行移动，攻击者还可以利用这一优势获取对域控制器的访问权限。

简单来说就是当攻击者拿到一台互联网边界机器的权限后，且该目标内网存在域，需要继续获取其他机器的权限扩大战果，这时就需要横向移动。

判断是否存在域

ipconfig /all

net time /domain

systeminfo

如果域为WORKGROUP则为工作组，表示不在域内

定位域控
nltest /DCLIST:vulntarget（查看域控制器的机器名）

net time /domain（查看当前时间）

nslookup -type=SRV _ldap._tcp（查看域控制器的主机名）
net group “Domain Controllers” /domain（查看域控制器组）

netdom query pdc（查看主控制器）

本机信息收集

查看网络配置
ipconfig /all
查看操作系统和版本信息和补丁信息
systeminfo
补丁信息需往下拉

查看本机服务信息
wmic service list brief

查看本机进程列表
tasklist
此命令可配合在线网站：https://tools.zjun.info/getav/ 识别杀软

查看启动程序信息
wmic startup get command,caption

查看计划任务
schtasks /query /fo LIST /v
查看主机开机时间
net statistics workstation
查看所有用户
net user

查看端口信息
netstat -ano
查看本机共享列表
net share

查看本机路由表
route PRINT

查看本机防火墙配置信息
netsh firewall show config
关闭防火墙
netsh firewall set opmode disable （03之前）
netsh advfirewall set allprofile state off（03之后）
查看当前权限
whoami /all
查看指定域内用户详细信息
net user win101 /domain

域内信息收集

查询域
net view /domain
查询域内所有计算机
net view /domain:daoyisec.com
查询域内所有用户组列表
net group /domain
查询所有域成员计算机列表
net group “domain computers” /domain
域内信任信息
nltest /domain_trusts
查询当前登录域及登录用户信息
net config workstation

域内主机存活探测
Windows：
for /l %i in (1,1,255) do @ ping 10.0.0.%i -w 1 -n 1 | find /i “ttl=”

CS插件探测
nbtscan 10.10.10.0/24
fscan探测
fscan.exe -h 192.168.1.1/24 -nopoc
可以加上nopoc参数 不进行POC扫描 防止流量过大被发现，正常扫描线程也要调到最低
arp-scan
arp-scan.exe -t 10.30.3.1/24
Linux：
for i in 192.168.1.{1 … 254}; do if ping -c 3 -w 3 $i &>/dev/null; then echo $i is alived; fi; done

出网探测

ICMP协议：
ping www.baidu.com
HTTP协议
curl www.baidu.com:80
DNS协议
Windows：
snlookup www.baidu.com vps-ip
Linux：
dig @vps-ip www.baidu.com

密码文件搜集

Windows：
在当前目录下搜索web.config文件
dir /b /s web.config
搜索所有后缀名文件里带有user pass uid的文件（直接在网站目录下搜索在c盘目录下搜索耗时较长）
findstr /c:“user=” /c:“pass=” /c:“uid=” /c:“pwd=” /si *.ini *.txt *.cgi *.conf *.asp *.php *.jsp *.aspx *.xml *.log .bak connect.php web.config
查询注册表里密码 真实环境下不管是系统的还是其他软件的都会显示
reg query HKLM /f password /t REG_SZ /s
查询注册表里账号
reg query HKLM /f username /t REG_SZ /s
Linux：
直接在web目录下执行 如果直接搜根目录会耗时较长
find ./ -name ".php" | xargs egrep -i “user|pass|pwd|uname|login”

SPN扫描
SPN：服务主体名称。使用Kerberos须为服务器注册SPN，因此可以在内网中扫描SPN，快速寻找内网中注册的服务，SPN扫描可以规避像端口扫描的不确定性探测动作。主要利用工具有：setspn、GetUserSPNs.vbs和Rubeus。
setspn -T domain.com -Q /

SPN定位exchange
setspn -Q “Exchange*/*”

（我现在这个环境没有exchange，我拿之前打靶截图发一下）