[[427988]]
本文轉(zhuǎn)載自微信公眾號「Bypass」,作者Bypass�。轉(zhuǎn)載本文請聯(lián)系Bypass公眾號����。
當獲取了一臺在域內(nèi)的Windows服務器權(quán)限���,就需要我們盡可能地去收集所能獲取到的域的相關信息����,收集的域的信息越多����,拿下域控的成功率越高�。
01�、判斷是否存在域
(1)一般我們在進行本機信息收集����,查詢IP網(wǎng)絡或系統(tǒng)信息時�,就很容易發(fā)現(xiàn)存在域控����。
- ipconfig /all 命令
- systeminfo 命令
(2)查看當前登錄域及域用戶
- net config workstation
(3)域服務器都會同時作為時間服務器���,所以使用下面命令判斷主域��。
- 運行 net time /domain 該命令后��,一般會有如下三種情況:
-
- 1.存在域,但當前用戶不是域用戶���,提示說明權(quán)限不夠
- C:\Users>bypass>net time /domain
- 發(fā)生系統(tǒng)錯誤 5
- 拒絕訪問���。
-
- 2.存在域,并且當前用戶是域用戶
- C:\Users\Administrator>net time /domain
- \\dc.test.com 的當前時間是 2020/10/23 21:18:37
-
- 命令成功完成����。
-
- 3.當前網(wǎng)絡環(huán)境為工作組,不存在域
- C:\Users\Administrator>net time /domain
- 找不到域 WORKGROUP 的域控制器�。
02�、查找域控制器
(1)一般來說����,域控服務器IP地址為DNS服務器地址,找到DNS服務器地址就可以定位域控�。
nslookup/ping 域名,解析到域控服務器IP地址
(2)查看域控制器的機器名
- nltest /DCLIST:test.com
(3)查看域控制器
- net group "Domain Controllers" /domain
3、獲取域內(nèi)用戶和管理員
(1)查詢域內(nèi)所有用戶組列表
- net group /domain
(2)查詢域管理員列表
- net group "Domain Admins" /domain
(3)獲取所有域用戶列表
- net user /domain
(4)獲取指定域用戶bypass的詳細信息
- net user bypass /domain
(5)查詢域內(nèi)置本地管理員組用戶
- net localgroup administrators /domain
04、定位域管理員
如果我們可以找到域管理員登錄了哪些服務器�����,就可以通過攻擊這些服務器并進行嘗試利用�����,以獲得域管理員權(quán)限。
(1)PowerView
PowerView.ps1集成在PowerSploit框架中��,該腳本完全依賴于PowerShell和WMI查詢�。
域用戶權(quán)限,能夠獲取的信息與用戶權(quán)限有關���,本地管理員用戶無法查詢。
下載地址:
- https://github.com/PowerShellEmpire/PowerTools
獲得所有域管理員的登錄位置信息:
(2)PsLoggedOn
PsLoggedOn是PSTools工具包中的一個小程序���,它顯示本地登錄的用戶和通過本地計算機或遠程計算機的資源登錄的用戶�。
域用戶權(quán)限,本地管理員無法查詢����。
下載地址:
- https://docs.microsoft.com/en-us/sysinternals/downloads/psloggedon
查看域控當前登錄的用戶:
(3)PVEFindADUser
下載地址:
- https://github.com/chrisdee/Tools/tree/master/AD/ADFindUsersLoggedOn
使用域用戶執(zhí)行��,查看域中所有計算機的登錄用戶:
05���、查找域管理進程
通過域管理員列表與本機進程及進程用戶進行對比�,就可以找到域管理員所運行的進程���。
- net group "domain admins" /domain //獲取域管理員列表
- tasklist /v //列出本機所有進程和進程用戶
網(wǎng)頁題目:內(nèi)網(wǎng)滲透之域內(nèi)信息收集
文章分享:
http://uogjgqi.cn/article/dpsdoci.html
