基础22-简单域信息收集

margin

​原文链接：基础22-简单域信息收集 (qq.com)
内容目录域简介一.案例操作1.基本信息收集2.网络信息收集操作演示3.简单域信息收集4.凭据信息收集操作5.探针主机域控架构服务操作演示核心业务机器类型
域简介域(Domain)是Windows网络中独立运行的单位，域之间相互访问则需要建立信任关系。
简单来说域的存在就是为了方便管理。
而在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，称为“域控制器（Domain Controller，简写为DC）”。
一.案例操作我们就拿昨天搭建好的域环境来做演示吧。(拓扑图如下)

​

1.基本信息收集
旨在了解当前服务器的计算机基本信息，为后续判断服务器角色，网络环境等做准备

• 
  

systeminfo 详细信息

​

• 
  

net start 启动服务

​

• 
  

tasklist 进程列表

​

• 
  

schtasks 计划任务
正在上传…重新上传取消
2.网络信息收集操作演示
旨在了解当前服务器的网络接口信息，为判断当前角色，功能，网络架构做准备

• 
  

ipconfig /all 判断存在域-dns

​

• 
  

net view /domain 判断存在域

​

• 
  

net time /domain 判断主域【判断域控】

​

• 
  

ping 域控主机名【获取域ip地址】

​

• 
  

netstat -ano 当前网络端口开放

​

• 
  

nslookup 域名 追踪来源地址

​

等等等，虽然有自动化脚本，但是还是要稍微了解一下的。

​

3.简单域信息收集
旨在了解当前计算机或域环境下的用户及用户组信息，便于后期利用凭据进行测试。
域内常见用户身份Domain Admins：域管理员（默认对域控制器有完全控制权）Domain Computers：域内机器Domain Controllers：域控制器Domain Guest：域访客，权限低Domain Users：域用户Enterprise Admins：企业系统管理员用户（默认对域控制器有完全控制权）

​

• 
  

net user /domain 查询域用户

​

• 
  

net group "domain admins/users" /domain  查询域管理员用户or域用户

​

• 
  

net group /domain  查询域中的工作组

​

• 
  

net view /domain  查询域名称

​

• 
  

dsquery server  查询所有域控制器

​

等等等，再贴一张图。

​

4.凭据信息收集操作
旨在收集各种密文，明文，口令等，为后续横向渗透做好测试准备
windows内网神器-->mimikatz
前提：需要获得system&administrator权限
计算机用户 HASH，明文获取

​

Linux获取脚本mimipenguin(linux) -需要root权限，需要提权

这个脚本局限较大,利用的是CVE-2018-20781漏洞，大部分只支持ubuntu，具体查看项目介绍。

• 
  

项目地址：https://github.com/huntergregal/mimipenguin

​

各种协议账号密码获取脚本-->LaZagne

• 
  

项目地址：https://github.com/AlessandroZ/LaZagne
正在上传…重新上传取消

正在上传…重新上传取消

• 
  

优点：支持全版本，linux，win和mac全部支持。缺点：抓取不全
XenArmor(win专用-->收费版)

​

需要收集的收集的方面：
1.站点源码备份文件、数据库备份文件等
2.各类数据库 Web 管理入口，如 PHPMyAdmin
3.浏览器保存密码、浏览器 Cookies
4.其他用户会话、3389 和 ipc$连接记录、回收站内容
5.Windows 保存的 WIFI 密码
6.网络内部的各种帐号和密码，如：Email、VPN、FTP、OA 等
用处：拿到账号密码，做字典，可以继续深入渗透。
5.探针主机域控架构服务操作演示
为后续横向思路做准备，针对应用，协议等各类攻击手法
一、探针域控制器名及地址信息
net time /domain nslookup ping这里就不在演示了
二、探针域内存活主机及地址信息

nbtscan
192.168.3.0
/
24
第三方工具
(需要考虑免杀问题)

                                          

​

​

本地自带命令，不考虑免杀问题

• 
  

for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.3.%I | findstr "TTL="

​

优点：自带内部命令ping内网的网段，不会查杀。
三、第三方powershell渗透框架nishang(类似于msf的工具)
1.导入模块，显示无法加载的话先导入策略

• 
  

Import-Module .\nishang.psm1

​

2.设置执行策略

• 
  

Set-ExecutionPolicy RemoteSigned

​

​

然后再到导入模块就好了。
3.获取模块 nishang 的命令函数

• 
  

Get-Command -Module nishang

​

例如运行一下mimikatz，直接打命令即可

​

4.获取常规计算机信息

• 
  

Get-Information

​

5.端口扫描（查看目录对应文件有演示语法，其他同理）
Invoke-PortScan -StartAddress 192.168.3.0 -EndAddress 192.168.0.255 -ResolveHost -ScanPort扫描192.168.30~192.168.0.255

​

6.其他功能
删除补丁，反弹 Shell，凭据获取等 探针域内主机角色及服务信息 利用开放端口服务及计算机名判断等等等

• 
  

具体可以参考官方项目页：https://github.com/samratashok/nishang


核心业务机器类型
1.高级管理人员、系统管理员、财务/人事/业务人员的个人计算机
2.产品管理系统服务器
3.办公系统服务器
4.财务应用系统服务器
5.核心产品源码服务器（自建 SVN、GIT）
6.数据库服务器
7.文件或网盘服务器、共享服务器
8.电子邮件服务器
9.网络监控系统服务器
10.其他服务器（内部技术文档服务器、其他监控服务器等）
想要完整的信息收集，必须要提权，不提权，很难搞~~~
​