域信息收集
大约 2 分钟
定位域控
1)域用户查询时间
域服务器通常会同时作为时间服务器使用
net time
2)通过DNS服务器定位
一般DNS服务器和域控是同一台服务器
nslookup -type=SRV_ldap_tcp
3)查看域控制器主机名
net group "domain controllers" /domain
域基本信息查询
net view /domain #查询所有域
net accounts /domain #获取域密码策略
nltest /domain_trusts #获取域信任信息
域内用户查询
net group /domain #查询域内所有用户组(需要使用域账户查询)
net user /domain #查询域内用户列表(需要使用域账户查询)
net group "domain admins" /domain #查询域管理员用户(需要使用域账户查询)
wmic useraccount get Caption,sid #获取域内所有用户sid
定位域管理员
获取域内一个支点后需要获取域管理员权限。
域管理员有其它域成员主机的本地系统管理员权限,具备完全控制权。
使用psloggedonexe,可以查看本地登录的用户和通过本地计算机或远程计算机的资源登录的用户。
如果指定的是用户名而不是计算机名,psloggedon.exe会搜索网上邻居中的计算机,并显示该用户当前是否已经登录。
其原理是通过检查注册表HKEY_USERS 项的key值来查询谁登录过(需要调用NetSessionEnum API),但某些功能需要管理员权限才能使用。
\computer:指定要列出登录信息的计算机名称
username:指定用户名,在网络中搜索该用户登录的计算机
工具下载地址:https://docs.microsoft.com/zh-cn/sysinternals/downloads/psloggedon
PowerView 枚举域内登陆的用户
Import-Module .\powerview.ps1
Invoke-UserHunter
域内主机发现
net view /DOMAIN:HACKER #查询域内所有主机
net group "domain computers" /domain #查询域成员计算机列表
setspn -q */* #用SPN查看域内重要应用服务器
BloodHound
BloodHound是一款域内信息收集分析工具,能以图形化的方式将获取到的信息展示出来。