转载 域渗透-域内信息收集
1 2 3 4 5 6 7 8 9 10 11 12 13 14
Net use Net view Tasklist /v Ipconfig /all net group /domain 获得所有域用户组列表 net group “domain admins” /domain 获得域管理员列表 net group “enterprise admins” /domain 获得企业管理员列表 net localgroup administrators /domain 获取域内置administrators组用户(enterprise admins、domain admins) net group “domain controllers” /domain 获得域控制器列表 net group “domain computers” /domain 获得所有域成员计算机列表 net user /domain 获得所有域用户列表 net user someuser /domain 获得指定账户someuser的详细信息 net accounts /domain 获得域密码策略设置,密码长短,错误锁定等信息 nltest /domain_trusts 获取域信任信息
不同于常规的tcp/udp端口扫描,由于spn本质就是正常的Kerberos请求,所以扫描是非常隐蔽,日前针对此类扫描的检测暂时也比较少。
大部分win系统默认已自带spn探测工具即:setspn.exe
1
setspn -T target.com -Q */*
可完整查出当前域内所有spn。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72
C:\Users\jerry.ROOTKIT>setspn -T rootkit.org -Q */* 正在检查域 DC=rootkit,DC=org CN=OWA2013,OU=Domain Controllers,DC=rootkit,DC=org IMAP/OWA2013 IMAP/OWA2013.rootkit.org IMAP4/OWA2013 IMAP4/OWA2013.rootkit.org POP/OWA2013 POP/OWA2013.rootkit.org POP3/OWA2013 POP3/OWA2013.rootkit.org exchangeRFR/OWA2013 exchangeRFR/OWA2013.rootkit.org exchangeMDB/OWA2013 exchangeMDB/OWA2013.rootkit.org SMTP/OWA2013 SMTP/OWA2013.rootkit.org SmtpSvc/OWA2013 SmtpSvc/OWA2013.rootkit.org exchangeAB/OWA2013 exchangeAB/OWA2013.rootkit.org Dfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04/OWA2013.rootkit.org ldap/OWA2013.rootkit.org/ForestDnsZones.rootkit.org ldap/OWA2013.rootkit.org/DomainDnsZones.rootkit.org TERMSRV/OWA2013 TERMSRV/OWA2013.rootkit.org DNS/OWA2013.rootkit.org GC/OWA2013.rootkit.org/rootkit.org RestrictedKrbHost/OWA2013.rootkit.org RestrictedKrbHost/OWA2013 RPC/58650e64-9681-4c62-b26e-7914b9041f72._msdcs.rootkit.org HOST/OWA2013/ROOTKIT HOST/OWA2013.rootkit.org/ROOTKIT HOST/OWA2013 HOST/OWA2013.rootkit.org HOST/OWA2013.rootkit.org/rootkit.org E3514235-4B06-11D1-AB04-00C04FC2DCD2/58650e64-9681-4c62-b26e-7914b9041f72/rootkit.org ldap/OWA2013/ROOTKIT ldap/58650e64-9681-4c62-b26e-7914b9041f72._msdcs.rootkit.org ldap/OWA2013.rootkit.org/ROOTKIT ldap/OWA2013 ldap/OWA2013.rootkit.org ldap/OWA2013.rootkit.org/rootkit.org CN=krbtgt,CN=Users,DC=rootkit,DC=org kadmin/changepw CN=dbadmin,OU=运维部,DC=rootkit,DC=org MSSQLSvc/Srv-Web-Kit.rootkit.org:1433 MSSQLSvc/Srv-Web-Kit.rootkit.org CN=SRV-WEB-KIT,CN=Computers,DC=rootkit,DC=org TERMSRV/SRV-WEB-KIT TERMSRV/Srv-Web-Kit.rootkit.org WSMAN/Srv-Web-Kit WSMAN/Srv-Web-Kit.rootkit.org RestrictedKrbHost/SRV-WEB-KIT HOST/SRV-WEB-KIT RestrictedKrbHost/Srv-Web-Kit.rootkit.org HOST/Srv-Web-Kit.rootkit.org CN=PC-JERRY-KIT,CN=Computers,DC=rootkit,DC=org RestrictedKrbHost/PC-JERRY-KIT HOST/PC-JERRY-KIT RestrictedKrbHost/PC-jerry-Kit.rootkit.org HOST/PC-jerry-Kit.rootkit.org CN=PC-MICLE-KIT,CN=Computers,DC=rootkit,DC=org RestrictedKrbHost/PC-MICLE-KIT HOST/PC-MICLE-KIT RestrictedKrbHost/PC-micle-Kit.rootkit.org HOST/PC-micle-Kit.rootkit.org CN=PC-TORNDO-KIT,CN=Computers,DC=rootkit,DC=org HOST/PC-TORNDO-KIT HOST/pc-torndo-Kit.rootkit.org 发现存在 SPN!
查询dns解析记录
若当前主机的dns为域内dns,可通过查询dns解析记录定位域控。
1
nslookup -type=all _ldap._tcp.dc._msdcs.rootkit.org
net group
1
net group "domain controllers" /domain
端口识别
1 2 3 4 5 6 7
端口:389 服务:LDAP、ILS 说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。 端口:53 服务:Domain Name Server(DNS) 说明:53端口为DNS(Domain Name Server,域名服务器)服务器所开放。
SPN扫描
adfind http://www.joeware.net/freetools/tools/adfind/index.htm
查询当前域中在线的计算机:
1
AdFind -sc computers_active
查询当前域中在线的计算机(只显示名称和操作系统):
1
AdFind -sc computers_active name operatingSystem
查询当前域中所有计算机:
1
AdFind -f "objectcategory=computer"
查询当前域中所有计算机(只显示名称和操作系统):
1
AdFind -f "objectcategory=computer" name operatingSystem
查询域内所有用户:
查询所有GPO:
参考文章:
域渗透-域内信息收集
FROM :blog.cfyqy.com | Author:cfyqy
评论