本文已参与「新人创作礼」活动,一起开启掘金创作之路。
域(domain)
域是一个有安全边界的计算机集合
安全边界:两个域之间,一个域中的用户无法访问另一个域中的资源
网络中多台计算机组织到一起,进行集中管理,最好要有一台域控制器,域控制器中保存着整个域的用户账号,和安全数据库。域是组织和存储资源的核心管理单元
域成员计算机在登录的时候可以选择登录到域中或此计算机
登录到域中的时候,身份验证是采用kerberos协议在域控制器上进行的
登录到此计算机时,使用SAM在进行NTLM验证的
默认情况下,域用户可以登录到域中所有的工作站,不包括域控制器,管理员也可以指定具体的计算机,域用户信息保存在活动目录中
域控:DC(Domain Control) 在域架构中域控是用来管理所有客户端的服务器,负责每一台联入的电脑和用户验证工作,域内机器如果想互相访问必须要经过域控
域控是域架构的核心,每个域控制器上都包含了AD活动目录数据库,一个域中可能要有至少两个域控,一个作为DC,另一个作为备份DC
活动目录:AD(Active Directory) 活动目录是域环境中提供目录服务的组件,在活动目录中,所有的网络对象信息以一种结构化的数据存储方式来保存,活动目录存储着有关网络对象的信息如用户,组,计算机,共i想资源,打印机和联系人等,安装有AD活动目录的服务器就是域控DC。
活动目录主要功能:
• 帐号集中管理:所有帐号均存在服务器上,方便对帐号的重命名/重置密码。
• 软件集中管理:统一推送软件,统一安装网络打印机等。利用软件发布策略分发软件,可以让用户自由选择安装
软件。
• 环境集中管理:利用AD可以统一客户端桌面,IE,TCP/IP等设置。
• 增强安全性:统一部署杀毒软件和扫毒任务,集中化管理用户的计算机权限、统一制订用户密码策略等,可监控
网络,资料统一管理。
• 更可靠:更少的宕机时间。如:利用AD控制用户访问权限,利用群集、负载均衡等技术对文件服务器进行容灾
设定,更可靠,宕机时间更少。
活动目录为Microsoft统一管理的基础平台,其它 ISA、Exchange、SMS 等服务都依赖于这个基础平台。
• Builtin容器:Builtin容器是Active Driectory默认创建的第一个容器,主要用于保存域中本地安全组。
• Computers容器:Computers容器是Active Driectory默认创建的第2个容器,用于存放windows server域内所
有成员计算机的计算机账号。
• Domain Controllers容器:Domain Controllers是一个特殊的容器,主要用于保存当前域控制器下创建的所有
子域和辅助域。
• Users容器:Users容器主要用于保存安装Active Driectory时系统自动创建的用户和登录到当前域控制器的所有
用户账户。
DNS域名服务器
• 域控服务器要求DNS服务器按名称查找计算机、成员服务器和网络服务。
• 域名解析:DNS服务器通过其A记录将域名解析成IP地址
• 定位活动目录服务:客户机通过DNS服务器上的 SRV 服务记录定位提供某一个服务的计算机
介绍完了域,接下来看看在域内有哪些信息收集的内容
域内信息收集 - Net组件
• 查询域
net view /domain
• 查询域内的所有计算机
net view /domain:de1ay
• 查询域内所有用户组(Enterprise Admins组权限最大)
net group /domain
• 查看域管理员的用户组
net group "domain admins" /domain
• 查询所有域成员计算机列表
net group "domain computers" /domain
• 查询域系统管理员用户组
net group "Enterprise admins" /domain
• 查看域控制器
net group "domain controllers" /domain
• 对比查看"工作站域DNS名称(域名)"和"登录域()域控制器"的信息是否相匹配
net config workstation
• 查看域内所有账号
net user /domain
• 查询指定用户的详情信息
net user xxx /domain
• 查看时间可以找到域控
net time /domain
• 查看域密码策略
net accounts /domain
• 查看当前登录域
net config workstation
• 登录本机的域管理员
net localgroup administrators /domain
域内信息收集 - dsquery
• 查看当前域内的所有机器,dsquery工具一般在域控上才有,不过你可以上传一个dsquery
dsquery computer
• 查看当前域中的所有账户名
dsquery user
• 查看当前域内的所有组名
dsquery group
• 查看到当前域所在的网段,结合nbtscan使用
dsquery subnet
• 查看域内所有的web站点
dsquery site
• 查看当前域中的服务器(一般结果只有域控的主机名)
dsquery server
• 查询前240个以admin开头的用户名
dsquery user domainroot -name admin* -limit 240
域内信息收集 - 定位域控
• ipconfig
ipconfig /all
• 查询dns解析记录
nslookup -type=all _ldap._tcp.dc._msdcs.mingy.com
• spn扫描
在SPN扫描结果中可以通过如下内容,来进行域控的定位。
setspn -q /
setspn -T mingy.com -q /
CN=DC,OU=Domain Controllers,DC=mingy,DC=com
• net group
net group "domain controllers" /domain
• 端口识别
端口:389
服务:LDAP、ILS
说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。
端口:53
服务:Domain Name Server(DNS)
说明:53端口为DNS(Domain Name Server,域名服务器)服务器所开放,主要用于域名解析,DNS服务在NT
系统中使用的最为广泛。通过DNS服务器可以实现域名与IP地址之间的转换,只要记住域名就可以快速访问网站。
(顺便说一下,如果扫到某台主机53端口和389端口都开启的话,那基本可以确定是域控了)
域内信息收集 - other
• 查看域内信任关系
nltest /domain_trusts
• 查看域控制器的机器名
nltest /DCLIST:WRD
• 查看域内邮件服务器
nslookup -q=mx wrd.com
• 查看域内DNS服务器
nslookup -q=ns wrd.com
收集完了基本的信息,接下来就准备探测内网存活的主机了,毕竟拿下机器才是我们最终的目的
内网存活探测 - Netbios协议探测
Netbios简介:
IBM公司开发,主要用于数十台计算机的小型局域网。该协议是一种在局域网上的程序可以使用的应用程序编程接
口(API),为程序提供了请求低级服务的同一的命令集,作用是为了给局域网提供网络以及其他特殊功能。系统
可以利用WINS服务、广播及Lmhost文件等多种模式将NetBIOS名-——特指基于NETBIOS协议获得计算机名
称——解析为相应IP地址,实现信息通讯,所以在局域网内部使用NetBIOS协议可以方便地实现消息通信及资源
的共享
