从暴力枚举用户到获取域所有信息

myh0st合天智汇本文转自公众号：信安之路我们在进行内网渗透中，会遇到存在windows域环境的情况，当我们获得一个内网主机权限之后，这个主机可能没有加入域，我们无法直接通过在这个主机上获取域中的相关信息，这是如何进行域渗透呢？我们可以通过钓鱼、欺骗、信息收集、密码猜解等方式获取一个域中普通用户的权限，下面先看一下如何暴力枚举域中的用户名。

Nmapkrb5-enum-usersNSEScript使用方法：nmap–p88–script-argskrb5-enum-users.realm=’[domain]’,userdb=[userlist][DCIP]

Metasploit的模块:模块信息如下：auxiliary/gather/kerberos_enumusers

使用这个模块我们需要提供三个参数：1、域名（Domain）2、域控IP（RHOST）3、用户字典（USER_LIST）

输入run运行之后的结果如图：

在运行完成之后会将结果保存在metasploit的数据库中，输入命令creds即可查看存在的用户。

枚举用户凭证可以使用Metasploit的auxiliary/scanner/smb/smb_login来枚举用户的密码凭证，使用帮助如下：

获取域中用户信息经过上面的操作，我们可能已经获得了一个或者若干域用户凭证，在这种情况下，我们就不需要在像之前那样采用暴力枚举的方式来获取用户信息来，我们可以采用光明正大的方式使用域中用户的身份去域数据库中搜索我们想要的数据。

使用-m参数可以获取远程桌面组的成员：windapsearch--dc-ip192.168.5.1-umydomainops-pPa55word-m

PowerView这个工具大家都不陌生，使用的人挺多的，作者博客：http://www.harmj0y.net/blog我们需要在没有加入域的主机上使用runas和/netonly建立一个由域用户启动的powershell会话：runas/netonly/user:mydomainoppowershell我们需要在弹出的框中输入密码：

使用下面的命令导出domainadmins组成员：Get-DomainGroupMember-identity

使用下面的命令导出远程桌面管理组的成员：Get-DomainGroupMember-identity

我们还可以使用当前用户的身份查询他可以访问的共享列表：Find-DomainShare-CheckShareAccess-Domainmydomain.test-DomainController192.168.5.1

RSAT（微软远程服务管理工具）MicrosoftRSAT的目的是让管理员可以通过远程来管理Windows服务器，这个工具的使用与上面的类似，首先创建一个域中普通用户权限的powershell会话，然后执行下面的命令获取域密码策略：Get-ADDefaultDomainPasswordPolicy-Server192.1685.5.1

我们也可以使用RAST的界面程序，使用runas启动：runas/netonly/user:mydomainopsmmc下面我们用这种方式来增加主机或用户到域中：

将域控制器实例改为我们的目标：

我们下面看看在域中的用户信息：