[内网信息收集] 域内信息收集

发布于 2021-09-14  122 次阅读


判断是否存在域

  • 使用ipconfig /all命令,可以查看网关IP地址、DNS的IP地址,域名、本机是否和DNS服务器初一同一网段等信息,然后使用nslookup来解析域名的IP地址。用解析得到的IP地址进行对比,判断域控制器和DNS服务器是否在同一台服务器上
image-20210817192231982
  • 使用systeminfo查看是否存在域
image-20210817192204848
  • 使用net config workstation
image-20210817192408615

判断主域

执行命令,判断主域(原理:域服务器通常会同时作为时间服务器使用

命令:net time /domain

  • 当存在域,但当前用户不是域用户:
image-20210817192745861
  • 当存在域,且当前用户是域用户:
image-20210817192822386
  • 当不存在域,网络环境为工作组时:
image-20210817192916335

探测域内存活主机

Tips:可以在白天和晚上分别进行探测,以对比分析存货主机和对应的IP地址。

NetBIOS探测内网

  • NetBIOS探测原理: NetBIOS是局域网程序使用的一种应用程序编程接口(API),为程序提供了请求低级别服务的统一的命令集,为局域网提供了网络及其他特殊功能。几乎所有的局域网都是在NetBIOS协议的基础上工作的。NetBIOS也是计算机的标识名,主要用于局域网中计算机的互访。NetBIOS的工作流程就是正常机器名解析查询应答的过程,因此推荐优先使用。
  • 扫描工具:netscan是一个命令行工具,御用扫描本地或者远程TCP/IP网络上的开放NetBIOS名称服务器。netscan有Windows和Linux两个版本,体积很小,不需要安装特殊的库或者DLL就能使用。
  • 使用方法:将其上传至目标服务器,然后直接输入IP地址范围并运行

ICMP协议探测内网

  • ICMP协议探测原理:依次对内网的每个IP执行ping命令,可以快速找出内网中所有存活的主机
  • 使用命令:for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.1.%I | findstr "TTL="
image-20210818173320358

ARP扫描探测内网

  • 使用apr-scan对目标网络进行扫描
  • 使用各种渗透测试内置框架进行扫描

通过常规的TCP/UDP探测内网

  • 可以使用ScanLine

扫描域内端口

为什么要扫描域内端口

通过查询目标主机的端口开放信息,不仅可以了解目标主机所开放的服务,还可以找出其开放服务的端口,分析目标网络的拓扑结构等,需要注意一下三点:

  • 端口的Banner信息
  • 端口上运行的服务
  • 常见应用的默认端口

域内端口扫描方式

  • Metasploit内置的端口进行扫描。
  • 上传端口扫描工具,使用工具进行扫描。
  • 根据服务器的环境,使用自定义的端口扫描脚本进行扫描。
  • 在获得授权的情况下,可以直接使用Nmap、masscan等端口扫描工具获取开放的端口信息。

Telnet命令进行扫描

  • Telnet探测原理:Telnet协议是TCP/IP协议族的一员,是Internet远程登陆服务的标准协议和主要方式。在目标计算机上使用Telnet协议,可以与目标服务器建立连接。
  • 使用场景:快速探测某台主机的某个常规高危端口是否开放
  • 命令:telnet [服务器名] [端口]

收集域内基本信息

域内信息收集的命令本质上都是通过LDAP协议到域控制器上进行查询,所以查询时需要权限认证。只有域用户才拥有此权限,本地用户无法运行(system权限用户除外,因为在域中,除普通用户外,所有的机器都有一个机器用户,其用户名加上为机器名拼接$,System权限用户对应的就是域里面的机器用户)

查询域

net view /domain

查询域内所有计算机

net view /domain:HACKE : HACKE 是域名

查询域内所有用户组列表

net group /domain

常见的系统自带用户身份

  • Domain Admins:域管理员
  • Domain Computers:域内机器
  • Domain Controllers:域控机器
  • Domain Guest:域访客,权限较低
  • Domain Users:域用户
  • Enterprise Admins:企业系统管理员用户

在默认情况下,Domain Admins 和 Enterprise Admins对域内所有域控制器有完全控制权限

查询所有域成员计算机列表

net group "domain computers" /domain

获取域密码信息

执行如下命令,获取域密码策略,密码长度,错误锁定等信息

net accounts /domain

获取域信任信息

nltest /domain_trusts

查找域控制器

查看域控制器的机器名

nltest /DCLIST:hacke

查看域控制器的主机名

Nslookup -type=SRV_ldap._tcp

查看当前时间

在通常情况下,时间服务器为主域控制器

net time /domain

查看域控制器组

net group "Domain Controllers" /domain