域内信息搜集的另类玩法- 信息搜集篇 - 渗透红队笔记
第一章:信息搜集
目标资产信息搜集的程度,决定渗透过程的复杂程度。
目标主机信息搜集的深度,决定后渗透权限持续把控。
渗透的本质是信息搜集,而信息搜集整理为后续的情报跟进提供了强大的保证。
----Micropoor
域内信息搜集
nltest查询受信任域
nltest在windows03以下不是内置的,在windwos03以后的机器都内置有。
信任域:可以在工作组里查询,查询内网里是否有域环境
查找受信任域的方法:
一、首先查看当前域的DNS服务器:
ipconfig /all
DNS服务器是:192.168.3.21
二:然后查询192.168.3.21的受信任域:
nltest /domain_trusts /all_trusts /v /server:192.168.3.21[dns的ip]
域信任的列表:
0: GOD god.org (NT 5) (Forest Tree Root) (Primary Domain) (Native)
Dom Guid: b69e6e2b-e72e-4011-b66f-e5eb129496a3
Dom Sid: S-1-5-21-1218902331-2157346161-1782232778
解释:
0:代表是第一个域,如果有多个,那么会有1,2,3...等等类似
GOD:是内网域环境的名字三:查询域控和其他信息,GOD是上个步骤结果中的域名字。
nltest /dsgetdc:GOD /server:192.168.3.21[域控ip]
DC: \\OWA2010CN-GOD
地址: \\192.168.3.21
Dom Guid: b69e6e2b-e72e-4011-b66f-e5eb129496a3
Dom 名称: GOD
林名称: god.org
DC 站点名称: Default-First-Site-Name
我们的站点名称: Default-First-Site-Name
标志: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_FOREST CLOSE_SITE FULL_SECRET WScsvde导出域内详细信息
csvde -setspn GOD[域的名字] -f hack.csv
LDAP的存储规则:一般存储的是域的信息
区分名(DN,Distinguished Name)一个条目的区分名称叫做“dn”或者叫做区分名。在一个目录中这个名称总是唯一的。
CN=Common Nmae 为用户名或服务器名,最长可以到80个字符,可以为中文。
OU=Organization Unit为组织单元,最多可以有四级,没级最长32个字符,可以为中文。
O=Organization为组织名,可以3-64个字符长度。
C=Country为国家名,可选,为2个字符长度。
setspn定位域内所有存活的各类服务器
SPN官方名称叫做“服务主体名称”,本质上存的就是域内各种服务资源的对应关系。
如:对应的服务类型是什么?机器名是多少?服务端口是多少?
借助SPN可以快速定位当前目标域中所有存活的各类服务器。
setspn -T GOD[域的名字] -Q */*
还可以指定查询:查询MSSQL
setspn -T GOD -Q */* | findstr MSSQL
dnsdump获取域环境下所有机器对应的IP
dnsdump工具可以获取域环境下所有机器对应的IP
下载地址:https://github.com/dirkjanm/adidnsdump
域控制器名可以用setspn命令查看:
dnsdump.exe -u [域名]\域用户 -p 域密码 域控制器名 -r
dnsdump.exe -u GOD\mary -p aadmin!@#45
net命令获取域内信息
如果你拿到了一个域用户的主机,那么就可以通过net命令来进行域内信息搜集。
一:获取域用户列表
net user /domain
二:获取域管理员列表
net group "domain admins" /domain
三:查看域控制器(如果有多台)
net group "domain controllers" /domain
四:查看域机器
net group "domain computers" /domain
五:查询域里面的组
net group /domain
六:查看同一域内机器列表
net view
七:查看某IP共享
net view \\ip
八:查看Mary计算机的共享资源列表
如果有就会显示,如果没有就会显示:列表是空的
net view \\mary
九:查看内网存在多少个域
net view /domain
十:查看XXX域中的机器列表
net view /doamin:GOD
nbtscan获取内网存活主机
nbtscan可以快速扫描内网中存活的机器:
nbtscan.exe 192.168.3.0/24
参考文章:
https://blog.51cto.com/kinpui/1329793
https://blog.csdn.net/qq_20336817/article/details/42320189