4、收集域内基础信息

如果确定当前内网拥有域，且所控制的主机在域内，就可以进行域内相关信息的收集了，以下使用到的查询命令在本质上都是通过LDAP协议到域控制器上进行查询的，所以在查询时会进行权限认证，只有域用户才拥有此权限，本地用户无法运行以下介绍到的查询命令。

4.1、查询域

net view /domain

4.2、查询域内所有计算机

net view /domain:HACK (假设查询得到的主机名为HACK)

4.3、查询域内所有用户组列表

net group /domain

常见的用户身份如下：

• Domain Admins: 域管理员

• Domain Computers: 域内机器

• Domain controllers: 域控制器

• Domain Guest: 域访客，权限较低

• Domain Users:域用户

• Enterprise Admins: 企业系统管理员用户

默认情况下，Domain Admins和Enterprise Admins对域内所有域控制器有完全控制权限。

4.4、查询所有域成员计算机列表

net group "domain computers" /domain

4.5、获取域密码信息

执行以下命令，获取域密码策略、密码长度、错误锁定等信息

net accounts /domain

4.6、获取域信任信息

nltest只在win2003以上有自带

nltest /domain_trusts
nltest /domain_trusts /all_trusts /v /server:域控地址  【获取域控所信任的域】
nltest /dsgetdc:HACK /server:域控地址  【获取域HACK的详细信息】

4.7、csvde的使用

csvde是windows server 2008的内置命令行工具，位于%windir%/system32文件夹中。如果安装了AD DS 或Active Directory轻型目录服务(AD LDS)服务器角色，则此功能可用。

适用于：windows server 2003、windows server 2008、windows server 2003 R2、windows server 2008 R2、windows server 2012、windows8的windows server 2003

csvde -setspn hack -f c:windowstmphack.csv 【hack为域控】

参考：https://www.cnblogs.com/micr067/p/11923383.html

4.8、setspn的使用

setspn -T hack -Q */* 【hack为域控】

SPN官方名称即"服务主体名称"，本质上存的就是域内各种服务资源的对应关系，如对应的服务类型是什么，机器名是多少，服务端口是多少，借助SPN我们可以快速定位当前目标域中所有存活的各类服务器。

4.9、dnsdump的使用

dnsdump.exe -u 域名域用户 -p 域密码 域控机器名

使用该工具我们可以很快获得域控下活动的ip。

该内容转载自网络，更多内容请点击“阅读原文”

原文始发于微信公众号（web安全工具库）：4、收集域内基础信息