0x00 域环境
- 在Windows的域中,不使用主域控制器和备份域控制器,每个域控制器都充当一样的角色。比如当前域环境有3个域控制器,在其中任意一个域控制器对用户的权限进行修改,该修改将被复制到其他两个域控制器中。同样,如果一个域控制器发生故障,只要其他域控制器还能继续工作,整个域环境还是可以正常运行。
- 域用户:域环境的用户。用户名和密码到域控制器去验证,可以在同一域内的任意一台计算机登录。(可能没有过高的权限,但是可以登录去查询东西)
- 域管理员:登录到域控制器上,对一切权限进行控制。
- 组:分组,将不同用户放在不同的组里,然后可对组的权限进行设置。
- 信任域:在很多的实际情况中,一个公司又有下面的子公司,所以就造成母公司有一个域,而子公司也有一个单独的域。母公司的域与子公司的域如何联系起来呢?可以在它们之间建立一种叫信任(Trust)的关系。如果母公司的帐户想要能够登录到子公司的域中,子公司的域就要对母公司的域建立信任关系。当母公司域的帐户想要登录到子公司域中时,子公司域由于信任母公司的域,所以它会听从从母公司域的域控制器返回的accesskey。反过来,由于母公司的域没有建立对子公司的信任,所以如果子公司的帐户想要登录到母公司的域中是不可能的。(
/domain_trusts
返回信任域的列表)
0x00 域信息收集
nltest
- 返回所有信任192.168.187.252的域:
nltest /domain_trusts /all_trusts /v /server:192.168.187.252
- 返回所有域控和其对应的IP地址:
nltest /dsgetdc:[域名] /server:192.168.187.252
- 注:03系统以后nltest内置。
- 一般来说,域控都搭建在DNS服务器上面,因为它要进行域名解析。因此可以通过
ipconfig /all
查找DNS服务器。
csvde
- Csvde是Windows Server 2008的内置命令行工具,位于%windir%/system32文件夹中。如果安装了AD DS或Active Directory轻型目录服务(AD LDS)服务器角色,则此功能可用。适用于:Windows Server 2003,Windows Server 2008,Windows Server 2003 R2,Windows Server 2008 R2,Windows Server 2012,带有SP1,Windows 8的Windows Server 2003。
- 导出详细信息:
csvde -setspn [域名] -f [保存路径
(例如:c:\windows\temp\hack.csv
)]
setspn
- SPN官方名称即“服务主体名称”,本质上存的就是域内各种服务资源的对应关系,如对应的服务、机器名、服务端口等。
- 快速定位当前目标域中所有存活的各类服务器:
setspn -T [域名] -Q /
- 也可以结合
findstr
定位服务:setspn -T [域名] -Q / | findstr MSSQL
- 得到的结果ping一下就可以得到IP。
dnsdump
- 下载地址:戳我。
- 用于前期,获取域环境下面所有机器对应的ip:
dnsdump.exe -u [域名\域用户] -p 域密码 域控机器名
net
虽然写过了,但是方便后期温习还是再写一遍^^。
- 获取域用户列表:
net user/domain
- 获取域管理员列表:
net group "domain admins" /domain
- 查看域控制器(如果有多台):
net group "domain controllers" /domain
- 查看域机器:
net group "domain computers" /domain
- 查询域里面的组:
net group/domain
- 查看同一域内机器列表:
net view
- 查看某IP共享:
net view \\ip
- 查看GHQ计算机的共享资源列表:
net view \\GHQ
- 查看内网存在多少个域:
net view /domain
- 查看XYZ域中的机器列表:
net view /domain:XYZ
nbtscan
- 可以直接扫出域控:
nbtscan.exe 192.168.0.1/24