0x00:域内信息收集
目标:判断域环境,定位域控制器的IP地址,获取域内其他成员机器的信息
参考链接:https://ares-x.com/tags/%E5%9F%9F%E6%B8%97%E9%80%8F/
0x01:域内信息收集
扫内网,找域控
域控的特征-开放389端口和53端口
389端口ldap,轻量级目录访问协议
53端口dns,域名解析服务器
DOS命令
ipconfig /all
systeminfo
这两个命令也都能查看所在域名
通过DNS后缀判断是否存在域
![\"域渗透(二)域内信息搜集_第1张图片\"](\"https://img.it610.com/image/info8/08afee09ed184e10900d7f84afea8eb1.png\")
![\"域渗透(二)域内信息搜集_第2张图片\"](\"https://img.it610.com/image/info8/69899ec872d544caa3e88ab6d1e21e08.png\")
net group \"domain admins\" /domain //域管理员
查域内的管理员有哪些
![\"域渗透(二)域内信息搜集_第3张图片\"](\"https://img.it610.com/image/info8/bd45229873e54b0ca3354d9db0bf6af9.png\")
net time /domain //域控地址
通过查询时间服务器判断是否存在域
一般时间服务器就是域控机器,可以ping获取其IP
![\"域渗透(二)域内信息搜集_第4张图片\"](\"https://img.it610.com/image/info8/9ff84e7926d84f71b11a0d4e9c5366e8.png\")
net group \"domain controllers\" /domain //得到域控制器主机名 查询域控制器
![\"域渗透(二)域内信息搜集_第5张图片\"](\"https://img.it610.com/image/info8/33e4b187de3642069144c18b6be6c60b.png\")
net group \"domain computers\" /domain /查询域机器
![\"域渗透(二)域内信息搜集_第6张图片\"](\"https://img.it610.com/image/info8/7b297503967442aeb7623e4f809683b8.png\")
net group /domain //查询域里面的组
![\"域渗透(二)域内信息搜集_第7张图片\"](\"https://img.it610.com/image/info8/a268429c3a6045c7bf1fad1ab906e08a.png\")
net user /domain //查询域用户列表
![\"域渗透(二)域内信息搜集_第8张图片\"](\"https://img.it610.com/image/info8/8a5d10a7036447bdae3a71ddb5bc20bc.png\")
net view //查看当前域内机器列表
![\"域渗透(二)域内信息搜集_第9张图片\"](\"https://img.it610.com/image/info8/c9a575ef257b4cdb83419a233ebc10a6.png\")
net view /domain //查看内网存在多少个域
![\"域渗透(二)域内信息搜集_第10张图片\"](\"https://img.it610.com/image/info8/6797a6e6df424ae7a5b78c5a0e8b34b1.png\")
net view \\\\ip //查看某ip开启的共享 net view \\\\主机名 //查看主机的共享资源列表
//ip地址可通过 net view查看机器名,在ping他的域名
![\"域渗透(二)域内信息搜集_第11张图片\"](\"https://img.it610.com/image/info8/c97d20ee01d848dab24f78eb8d8fb8d1.png\")
![\"域渗透(二)域内信息搜集_第12张图片\"](\"https://img.it610.com/image/info8/cc45cf9e3994422780a324a92b73e401.png\")
net view /domain //查看内网存在多少个域 net view /domain:XXX //查看XXX域中的机器列表
![\"域渗透(二)域内信息搜集_第13张图片\"](\"https://img.it610.com/image/info8/e3d849ab07154df5b018345059540313.png\")
wmic useraccount get Caption,sid //获取域内所有用户sid,只有域管理员组的成员可以使用
SID的介绍
SID也就是安全标识符(Security Identifiers),是标识用户、组和计算机帐户的唯一的号码。在第一次创建该帐户时,将给网络上的每一个帐户发布一个唯一的 SID。Windows 2000 中的内部进程将引用帐户的 SID 而不是帐户的用户或组名。如果创建帐户,再删除帐户,然后使用相同的用户名创建另一个帐户,则新帐户将不具有授权给前一个帐户的权力或权限,原因是该帐户具有不同的 SID 号。安全标识符也被称为安全 ID 或 SID。
SID的作用
用户通过验证后,登陆进程会给用户一个访问令牌,该令牌相当于用户访问系统资源的票证,当用户试图访问系统资源时,将访问令牌提供给 Windows NT,然后 Windows NT 检查用户试图访问对象上的访问控制列表。如果用户被允许访问该对象,Windows NT将会分配给用户适当的访问权限。
访问令牌是用户在通过验证的时候有登陆进程所提供的,所以改变用户的权限需要注销后重新登陆,重新获取访问令牌。
![\"域渗透(二)域内信息搜集_第14张图片\"](\"https://img.it610.com/image/info8/a44850d1a4e04686b3490756cfd91a5b.png\")
![\"域渗透(二)域内信息搜集_第15张图片\"](\"https://img.it610.com/image/info8/95c44a7da40e4c55a56ac33d2d3cd316.png\")
nltest /domain_trusts /all_trusts /v /server:<域控ip> //查询信任域
//貌似只能域管理员运行?其他主机是因为没有这个程序,那应该也不是
![\"域渗透(二)域内信息搜集_第16张图片\"](\"https://img.it610.com/image/info8/a33b9f81d2784be5b078e6f7f286b47c.png\")
![\"域渗透(二)域内信息搜集_第17张图片\"](\"https://img.it610.com/image/info8/e1b5a1c114504204a39f5bc8c0a9b692.png\")
nltest /dsgetdc:<域名> /server:<域控ip> //查询域详细信息
![\"域渗透(二)域内信息搜集_第18张图片\"](\"https://img.it610.com/image/info8/1a0a7483958c47fa9cf6ecd97492e108.png\")
setspn -T <域名> -Q */* | findstr <过滤字符串/可不加> //查询域内各种资源服务器:
![\"域渗透(二)域内信息搜集_第19张图片\"](\"https://img.it610.com/image/info8/f5b974803da04ee0b35f4c7e62f2c44d.png\")
finished