内网信息收集(二)

小数志

共 2307字,需浏览 5分钟

 ·

2020-07-24 12:24

2020年真的是多灾多难的一年,上半年抗疫,下半年抗洪水。躲的过初一,躲不过十五,老家被水淹,新家也被水淹。天池就向被捅了一个窟窿,那水就哗啦啦的往下趟,幸福感也哗啦啦的往下掉。倒霉的总是蓄洪区,经济发展相对较慢,灾难来临被战略性舍弃。希望有关部门能够重视灾备,多问几个如果,如果灾难发生了,那么如何保障蓄洪区的财产安全?如何做好灾备的大安全运营?这一点值得思考。


一、收集域内基础信息

1、查询域(需要启动Computer Browser服务)

  • 在Win7上操作启用

c5425394608b1f681d91276e30b8c75d.webp
  • 在Win2012R2上操作启用

69f61c5fe68d4813e251c8bd288e736b.webp
net view /domain
d1a414a22d09bcdcc3b135ae406d8a46.webp

2、查询域内所有计算机(然而只看到预控服务器)

net view /domain:HACKBIJI
a9a4e9e2f0629ca68de49105f2902dd0.webp

3、查询域内所有用户组列表(默认13个组)

net group /domain
63a339170d858c898a43cfd75737465e.webp

4、查询所有域成员计算机列表(确实是所有成员的名字)

net group "domain computers" /domain
e60949ce823774584ad11e591a431e18.webp

5、获取域密码信息(这个是密码设置的要求)

net accounts /domain
4ce60511d127fb00deaedae2c9e533f9.webp

6、获取域信任信息

nltest /domain_trusts
1affa616ef7a10f142a946bd0fc7801e.webp

二、查找域控制器

1、查看域控制器的机器名

nltest /DCLIST:HACKBIJI
4d258cbb63960ed99217c71a4e2baa93.webp

2、查看域控制器的主机名

nslookup -type=SRV _ldap._tcp
b24ac5e0fcf140a12db69dd3c579a7e7.webp

3、查看当前时间

net time /domain
a412b8ab8502c2f244e4d02c56c6a2e7.webp

4、查看域控制器组

net group "Domain Controllers" /domain
497cf95a6e974237c9cf08846747215c.webp

三、查询所有域用户列表

1、向域控制器进行查询(实用命令)

net user /domain
b1935f9ac409cf7175b30ed3551ce939.webp

2、获取域内用户的详细信息(用户名、描述、SID、域名、状态)

wmic useraccount get /all
2e549aed5c312779cd2fa6f0a539b767.webp

3、查询本地管理员组用户(2个用户名,1个用户组)

net localgroup Administrators
5a0d0feaed7cc4f654cc8886e57b6449.webp

四、查询域管理员用户组

1、查询域管理员用户

net group "domain admins" /domain
9758b149ed4538add1a1036f769ceb13.webp

2、查询管理员用户组

net group "Enterprise Admins" /domain
73d5b0416765014ed1e3903d097626e6.webp

五、常用域管理员定位工具

1、psloggedon.exe

2、PVEFindADUser.exe

3、netview.exe

4、Nmap的NSE脚本

5、PowerView脚本

六、查找域管理进程

1、获取域管理员列表

net group "domain admins" /domain
f362685b08eda285a936a8c0457d7925.webp

2、列出本机的所有进程及进程用户

tasklist /v
d5a8815bbd1db9330d81707cd9c0ff8c.webp

3、查询域控制器列表

net group "Domain Controllers" /domain
f713b1343a8d260932008a93afbce0f2.webp

4、收集域管理员列表

net group "Domain Admins" /domain
5ee1dc00f80518020d411890df750d5f.webp

5、收集所有活动域的会话列表(需要下载软件)

NetSess.exe -h
f70801902686cbcdc23ee010ef5123b4.webp

6、交叉引用域管理员列表和活动会话列表(需要下载脚本[1],下载脚本依赖软件)

428273baf8e14be971cecf40797310da.webp

下载好所有软件,之后添加环境变量,最后运行,获得帮助文档。

770e45700e9cd348221d1316553fba5f.webp
GDA.bat -a

生成的结果会保存在文件中。

7cbaabb2629f833121abd3e22fa4df63.webp

7、查询远程系统中运行的任务(不怎么灵)

FOR /F %i in (ips.txt) DO @echo [+] %i && @tasklist /V /S %i /U user /P password 2>NUL > output.txt && FOR /F %n in (names.txt) DO @type output.txt | findstr %n > NUL && echo [!] %n was found running a process on %i && pause
cd14221fc776dce94670f0260c4fd0c2.webp

8、扫描远程系统的NetBIOS信息

for /F %i in (ips.txt) do @echo [+] Checking %i && nbtstat -A %i 2>NUL >nbsessions.txt && FOR /F %n in (admins.txt) DO @type nbsessions.txt | findstr /I %n > NUL && echo [!] %n was found logged into %i
274fb37944b14fd053e1d67d061f2aa3.webp

查看扫描的结果:

bfc7ef50433d126141cb0997a8ff3aae.webp

六、利用Powershell收集信息


  • 检查Powershell状态

6ffe3deaa6bdccdbd62852429886d5a5.webp
  • 将状态修改成Unrestricted(需要管理员权限)

48c40b4f80e615accf08d45deee8bc1d.webp
  • 下载PowerView.ps1[2]

  • 导入PowerView.ps1,并运行查询命令

Get-NetDomain #获取当前用户所在域的名称
44237d06395f6b2f5b512827db0a4658.webp
Get-NetUser #获取所有用户的详细信息
eb51cd46ef4809410268890afa1b26d9.webp
Get-NetComputer #获取域内所有机器的详细信息
3d5905ef0df4b4e15479c6c3d1d193d8.webp
Get-NetShare #获取当前域内所有的共享信息
7c4bb3a5fd2499b3abef266ff2d9fa9c.webp
Get-ADObject #获取活动目录的对象(内容超级多)
2321113bdb1e0552c7d0a4c7e397bb24.webp
Invoke-UserHunter #获取域用户登陆的计算机信息,以及该用户是否有本地管理员权限
fcb02759c3711925cf3519fe6b6ef1c8.webp
Invoke-ProcessHunter #通过查询域内所有的机器进程找到特定用户
a726ddd59e8162bb235d1b18367b10eb.webp

还有很多命令等待你自己去探索~

完~


参考

  1. ^GDA.bat下载地址 https://github.com/nullbind/Other-Projects/tree/master/GDA

  2. ^PowerView.ps1下载地址 https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Recon/PowerView.ps1


浏览 13
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报