域渗透-信息收集基础

判断当前服务器是否在域内

  1. RDS 如果目标服务器远程桌面服务开启,可尝试进行连接,若在用户名和密码栏下还有一个登录到(L)选项,下拉选项栏如果除了计算机名(此计算机)选项外还有其他选项,则此服务器可能位于域中,且选项名即为域名;
  2. net time /domain 执行该命令,有三种情况:第一种如果存在域会从域控返回时间,并在第一行返回域控及域名;第二种如果当前当前服务器在域内但当前用户非域用户,则会返回System error 5就表示权限不够;最后一种就是返回“找不到域WORKGROUP的域控制器”表示当前网络环境为工作组而不存在域;
  3. ipconfig /all 查看当前网络的DNS,一般在内网DNS服务器即为域控,很少将DNS与域控分开,除非内网很大存在多域环境;
  4. systeminfo 系统信息当中含有两项:Domain和Logon Server,Domain即为域名,Logon Server为域控,但如果Domain显示为WORKGROUP则当前服务器不在域内;
  5. net config workstation 其中工作域显示域名,同样若为WORKGROUP则非域环境,登录域表明当前用户是域用户登录还是本地用户登录;

域内信息收集

net group /domain  获得所有域用户组列表
net group “domain admins” /domain  获得域管理员列表
net group “enterprise admins” /domain  获得企业管理员列表
net localgroup administrators /domain 获取域内置administrators组用户
net group “domain controllers” /domain 获得域控制器列表
net group “domain computers” /domain 获得所有域成员计算机列表
net user /domain 获得所有域用户列表
net user someuser /domain 获得指定账户someuser的详细信息
net accounts /domain 获得域密码策略设置,密码长短,错误锁定等信息
nltest /domain_trusts 获取域信任信息

​ 需要注意的是本地用户是无法运行以上所说说的所有命令的,因为本质上所有查询都是通过ldap协议去域控制器上查询,这个查询需要经过权限认证,只有域用户才有这个权限。当域用户运行查询命令时,会自动使用kerberos协议认证,无需额外输入账号密码。SYSTEM用户的情况比较特殊,在域中,除了普通用户外,所有机器都有一个机器用户,用户名是机器名后加$,本质上机器上的SYSTEM用户对应的就是域里面的机器用户,所以SYSTEM权限是可以运行之前说的查询命令的。

比如我们在获取到某域内服务器的administrator权限后,执行以上命令时出现权限不够情况,这时可通过PsExec将权限提升提升至System后再执行,具体命令为PsExec -s cmd

密码抓取

​ 在内网渗透过程中,说白了就是不断进行信息收集,扩大攻击面,除了以上收集的信息外,我们最关注的也是当前服务器上的所有系统账号密码,这一般有三种情况,首先是服务器本地账户,其次是域用户,当然如果有狗屎运的话抓到域管的账号密码也不是没有可能的。

​ 这里简单说一下抓取密码的姿势,第一种就是上传工具在服务器上抓hash,常用的工具有pwdump7、gethashes、QuarksPwDump、mimikaze等,上传这种工具可能会被服务器上的防护软件干掉,碰到这种要不关杀软,要不删防护策略,再就是做免杀;另一种就是导出注册表拖回本地进行导出,导出注册表的命令为reg save hklm\sam sam.hive & reg save hklm\system system.hive & reg save hklm\security security.hive,将生成文件拖回本地使用creddump7从注册表提取mscash,命令为pwdump.py system.hive sam.hive,这种方法的好处就是不用在意杀软;还有一种是使用powershell或者procdump的方法,这种也可以过杀软。

​ 首先考虑最差的结果,当前服务器上全为本地用户未获取到任何域用户信息,那么就可以使用这些账号密码组合去使用IPC共享或smb爆破去扫描其他主机,若爆破有结果那就可以登录至这些服务器继续抓取hash,直到遇见域用户为止;再者,如果当前已获得域用户账号密码,除非此时有ms14-068 kerberos漏洞或者GPP组策略漏洞可利用提升至域管权限,要不只能再继续进行拓展直至抓取到域管hash为止。

Referer

https://www.t00ls.net/thread-30541-1-1.html

http://www.fuzzysecurity.com/tutorials/25.html

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏区块链

20种功能强大的跨平台渗透测试工具

什么是渗透测试?用来测试软件是否存在例如安全方面的漏洞,如果已经存在,会不会被入侵。 渗透测试流程: 1、列出软件或系统潜在的安全漏洞。 2、根据漏洞的严重性进...

28070
来自专栏zhisheng

HBase 集群监控

为什么需要监控? 为了保证系统的稳定性,可靠性,可运维性。 掌控集群的核心性能指标,了解集群的性能表现。 集群出现问题时及时报警,便于运维同学及时修复问题。 集...

72080
来自专栏haifeiWu与他朋友们的专栏

APP启动速度优化

APP启动速度非常重要,APP启动速度慢,可能会造成用户体验不良好,尤其是在最近用Android studio之后,如果长时间不打开app,启动速度就会特别的慢...

11210
来自专栏数据之美

记一次诡异的 ssh 互信免密码登录失败

背景 因为 hadoop 环境需要 master 能免密码 ssh localhost,所以我们需要建立与本机 localhost 的互信,方法很简单: 1. ...

52150
来自专栏FreeBuf

如何使用Metasploit对安卓手机进行控制

文章内容可能具有一定攻击性,本文仅供技术交流,如有非法使用后果自负。 在这次的实验中,我会使用kali linux和安卓模拟器演示如何使用Metasploit...

516100
来自专栏FreeBuf

如何将简单的Shell转换成为完全交互式的TTY

作为一名渗透测试人员,最令人激动的莫过于netcat为我们反弹回了一个shell连接,以及通过id命令查看到一个令人满意的用户权限。但凡事总有意外,由于我们获取...

46240
来自专栏Ceph对象存储方案

远程管理openresty的reload

默认情况下,nginx/openresty会启动一个root权限运行的master进程,之后再用指定的普通用户权限启动对应的worker,如果需要对整个open...

49150
来自专栏技术点滴

告别S! S! H! 秒杀终端工具——FastLogin

题记:自从接触到“跳板机”的概念后,一直就被烦不胜烦的机器名,ip地址,用户名,密码折腾的死去活来,心说能有个小精灵随时帮我输入那些重复的登录信息就好了。我见过...

14010
来自专栏解Bug之路

解Bug之路-Druid的Bug 原

笔者很热衷于解决Bug,同时比较擅长(网络/协议)部分,所以经常被唤去解决一些网络IO方面的Bug。现在就挑一个案例出来,写出分析思路,以飨读者,希望读者在以后...

16950
来自专栏Web项目聚集地

RESTful 接口实现简明指南

在我所见过的 RESTful 接口的实现中,以 GitHub 最让人惊叹。我第一次如此强烈得感受到 REST 接口的美妙,完全满足了我所期待的「接口的形式美感」...

10210

扫码关注云+社区

领取腾讯云代金券