Kerberos域信息搜集

域信息搜集是域安全对抗的基础。

域信息搜集的一般前提条件是在当前域内有一个域内的账号密码或者域内客户端主机。也称作在域内有一个支点或者据点。

拥有一个域内账号密码表示可以登录LDAP服务器查询信息。

拥有一台域内客户端主机表示当前主机可以访问域服务器。

某些情况不需要域内有支点也能搜集，可以使用nbtstat命令。

域架构获取

可以用cmd命令或者powershell命令查看当前主机在不在域内。

cmd命令：systeminfo

poweshell命令：get-wmiobject win32_computersystem

域架构信息搜集包含两部分，一是定位域服务器，就是有几台服务器，是主从关系还是平等关系。二是判定域是独立域还是属于某个森林，或者信 任他域、他森林。

1、查看是否为主从域服务器。在安装域服务器的时候，有个提示是要不要勾选全局目录（GC），勾选的话为主服务器，没有就是从服务器。

可以通过命令dsquery server -isgc查询。

安装了域服务的与服务器上，自带dsquery工具，没有的可以到微软官方下载。

2、判断独立域或森林。用dsquery工具查看整个森林的服务器，来判断当前域是独立域还是属于某个森林。

命令：dsquery server -o rdn -forest表示获取当前域所有的森林的所有域服务器。

分别在testlab.com、adsec.com域服务器上运行。

testlab.com，可以判断是一个独立的域，当前森林就是当前域。

adsec.com，可以判断包含了多个子域，就是当前域是域森林中的一个域。

在win2016-DC01上运行dsquery server -isgc命令，表明服务器win2016-DC01为根域服务器。

域主机用户信息获取

可以通过cmd命令获取，也可以使用powershell命令、dsquery工具查询。

使用dsquery工具获取域内所有用户账号。

使用cmd命令获取域内所有用户账号。

带有“$”的账号是主机账号或者服务器账号，不带的则是用户账号。

特殊账号krbtgt，域内进行kerberos认证时的重要账号，其口令是域内认证的基石，黄金票据就是通过krbtgt账号的NTLM值来构造的。

使用dsquery工具获取域内所有主机账号。

受用cmd命令获取域内所有主机账号。

域内分组信息获取

cmd命令net groups /domin获取adsec.com域内所有分组。

dsquery命令dsquery group获取adsec.com域内所有分组。

域内组策略信息获取

安装了域服务的域服务器都会共享两个目录，分别是sysvol（c:windowssysvolsysvol）和netlogon（c：

windowssysvolsysvoladsec.comscripts）目录，域内的任意账号都可以访问读取这两个文件，netlogon是域策略的脚本存放位置，sysvol的

子目录policy为组策略的存放位置。

adsec.com域中的组策略。

总结

愿大家健康开心。

原文始发于微信公众号（AlertSec）：Kerberos域信息搜集