域信息收集

发布于 2021-11-02  23 次阅读

一般域控就是主DNS服务器

  • 判断域存在 win 信息收集--判断是否有域_Beret-81的博客-CSDN博客
  • 探测域内存活主机信息 nbtscan
    • ICMP快速探测
      • ICMP: (Internet Control Message Protocol)Internet控制报文协议。它是TCP/IP协议簇的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。 相当于遍历ping
      for /L %i in (1,1,254) DO @ping -w 1 -n 1 10.1.1.%i | findstr "TTL=" //____为需要替换部分
      • 解释: %i in (1,1,254) 遍历主机位从1 ~254的所有IP
        -n ping的次数
        -w 等待每次回复的时长(毫秒)
        192.168.0.%i 遍历IP 自192.168.0.1~192.168.0.254的所有IP
        | bat 管道,将前面的结果通过管道输入给后面的命令
    • ARP扫描
      • ARP是啥 (Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。
      arp -a arp-scan //kali自带 //https://github.com/royhills/arp-scan //exe暂未找到 //Empire的arp-scan模块 //Nishang中的Invoke-ARPScan.ps1脚本
  • 扫描域内端口
    • nmap nmap 192.168.1.114 -p1-65535
    PowerSploit的Invoke-ARPScan.ps1脚本
    • Nishang中的Invoke-PortScan模块 Invoke-PortScan -StartAddress 192.168.0.1 -EndAddress 192.168.10.254 -ResolveHost -ScanPort
      • 解释: StartAddress 扫描范围开始地址 EndAddress 扫描范围结束地址 ScanPort 进行端口扫描 Port 指定扫描端口,不指定port,则默认端口为 21,22,23,53,69,71,80,98,110,139,111, 389,443,445,1080,1433,2001,2049,3001,3128,5222,6667,6868,7777,7878,8080,1521,3306,3389, 5801,5900,5555,5901 TimeOut 设置超时时间 ResolveHost 解析主机名 扫描存活主机及端口并解析主机名
    • 端口banner信息的利用 nmap IP地址 --script banner -p 端口号 dmitry -pb IP地址 nc -nv IP地址 端口
    • Metasploit扫描端口
      • 使用auxiliary/scanner/portscan/tcp模块
        • 其他端口扫描方法 auxiliary/scanner/portscan/ack        ACK防火墙扫描 auxiliary/scanner/portscan/ftpbounce  FTP跳端口扫描 auxiliary/scanner/portscan/syn        SYN端口扫描 auxiliary/scanner/portscan/tcp        TCP端口扫描 auxiliary/scanner/portscan/xmas       TCP"XMas"端口扫描
      • show options 显示选项
      • set ports 1-1024 设置扫描端口
      • set RHOSTS 192.168.1.114 设置目标主机
      • set THREADS 10 设置线程
      • run 开始执行

域基础信息

  • 查找域控制器
    • nltest /dclist:Domain_Name
    列出域中的所有域控制器
    • nslookup -type=SRV_ldap._tcp
    查看域控制器的主机名
    • net time /domain
    查看当前时间(一般由域控返回)
    • net group "Domain Controllers" /domain
    查看域控制器组
    • netdom query pdc
    查看域控制器的机器名(pdc:主域控制器)
  • 获取域内用户和管理员信息
    • 查询域内用户列表
      • net user /domain
      向域控制器进行查询
      • wmic useraccount get /all
      获取域内用户的详细信息
      • dsquery user
      查看存在的用户
      • net localgroup administrators
      查询本地管理员用户
    • 查询域管理员用户组
      • net group "domain admins" /domain
      查询域管理员用户
      • net group "Enterprise admins" /domain
      查询管理员用户组

定位域管理员

  • 查找域管理进程
    • net group "Domain Admins" /domain
    获取域管理员列表
    • tasklist /v
    列出本机的所有进程及进程用户
    • net group "Domain Controllers" /domain
    查询域控制器列表
    • NetSess -h
    收集所有活动域的会话列表
  • 分析域内网段划分情况及拓扑结构 在掌握了内网的相关信息后, 渗透测试人员可以分析目标网络的结构和安全防御策略,获取网络信息、各部门的IP地址段,绘制内网的拓扑结构图。

域分析工具BloodHound

  • 实际场景利用点 核心业务机器的类型
    • 核心业务机器
      • 高级管理人员、系统管理员、财务/人事/业务人员的计算机
      • 产品管理系统服务器
      • 办公系统服务器
      • 财务应用系统服务器
      • 核心产品原码服务器
      • 数据库服务器
      • 文件服务器、共享服务器
      • 电子邮件服务器
      • 网络监控系统服务器
      • 其他服务器
    • 敏感信息和敏感文件
      • 站点源码备份文件、数据库备份文件
      • 各类数据库的Web管理入口
      • 浏览器密码和浏览器Cookie
      • 其他用户会话、3389和ipc$连接记录,"回收站"中的信息
      • Windows无线密码
      • 网络内部的各种账号及密码
    敏感信息的防护 在内网找中,攻击者经常会进行基于应用和文件的信息收集,从总体上来看,攻击者一是想进一步了解已攻陷机器所属人员的职位,二是想在机器中使用一些命令来寻找自己想要的资料。针对攻击者的行为,建议用户在内网中工作时,不要将特别重要的资料存储在公开的计算机中,在必要时应对Office文档进行加密且密码不能太简单。

10-21

  • 信任域 nltest /domain_trusts/all_trusts /v /server:IP 返回信任域信息 nltest /dsgetdc:域名 /sercer:IP 返回域控IP
  • csvde -setspn 域名 -f [到出到本地路径/hack.csv] 适用win2003-2012 CN:用户名或服务器名 注意objectclass和name字段
  • setspn -T [域名] -Q / 收集其服务类型
  • 前期用dnsdump扫DNS(相当于域控) dnsdump.exe -u [域名][用户名] -p 域密码 域空机器名 可以获取对应ip
  • net方法

nbtscan.exe查询内网IP段

间桐桜のお菓子屋さん