本文已参与「新人创作礼」活动.一起开启掘金创作之路。
0x01 工作组信息收集
查询当前权限
whoami /all 获取域的SID
net user xxx /domain 查询指定用户的权限
ipconfig /all 查询网络配置
net user 查询本机用户列表
net localgroup administrators 查询本机管理员
query user || qwinsta 查看在线用户
tasklist /v 查看进程列表
wmic process list brief 查看进程列表
systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本" 查看操作系统和系统版本
wmic product get name,version 查看本机安装的软件及版本
netstat -ano 查询端口列表
systeminfo 查询本机信息
wmic qfe get description, installedOn 查询补丁列表
查询本机共享
net share
wmic share get name,path,status
netsh firewall show config 查询防火墙配置
关闭防火墙
windows server 2003及之前的版本
netsh firewall set opmode disable
windows server 2003之后的版本
netsh advfirewall set allprofiles state off
修改防火墙配置
A. Windows Server 2003系统及之前版本,允许指定程序全部连接
netsh firewall add allowedprogram c : \nc.exe "allow nc" enable
B. Windows Server 2003之后系统版本
允许指定程序连入
netsh advfirewall firewall add rule name="pass nc" dir=in action=allow program="C: \nc.exe"
允许指定程序连出
netsh advfirewall firewall add rule name="Allow nc" dir=out action=allow program="C: lnc.exe
允许3389端口放行
netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
开启3389
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
关闭3389端口
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 11111111 /f
0x02 域内信息收集
1、判断是否有域环境
ipconfig /all
systeminfo
net config workstation
net time /domain
判断主域,一般域服务器都会同时作为时间服务器
这里分为3中情况:
存在域,并且当前用户是域用户
不存在域,当前网络环境为工作组
存在域,但当前用户不是域用户
0x03 域内存活主机探测
利用netbios快速探测内网
工具:Nbtscan
下载地址:www.unixwiz.net/tools/nbtscan-1.0.35.exe
使用方法:nbtscan.exe IP
利用ping命令(icmp协议)
当icmp协议开启时,则能ping通。 可以变通命令,扫描整个内网段
如下命令 扫描整个 192.168.189.* 网段
for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.189.%I | findstr "TTL="
利用Empire中的Invoke-ARPScan.ps1模块
本地运行
powershell.exe -exec bypass -Command "& {Import-Module C:\Windows\Temp\Invoke-ARPScan.ps1; Invoke-ARPScan -CIDR 192.168.189.0/24}" >>C:\log.txt
利用ARP扫描
工具:arp-scan
下载链接:https://raw.githubusercontent.com/QbsuranAlang/arp-scan-windows-/master/arp-scan/Release(x64)/arp-scan.exe
0x04 域内端口扫描
利用msf进行域内端口扫描
msf6 > use auxiliary/scanner/portscan/tcp
msf6 auxiliary(scanner/portscan/tcp) > set rhosts 192.168.189.193
rhosts => 192.168.189.193
msf6 auxiliary(scanner/portscan/tcp) > run
0x05 域内基础信息收集
net view /domain
net view /domain:hacker(域名) 查询域内机器
net group /domain 查询系统的用户组列表
net group "domain computers" /domain 查询域成员计算机列表
net accounts /domain 查询域内密码规则
nltest /domain_trusts 查询域信任列表
net view /domain
net group "domain computers" /domain
0x06 域内控制器(域控名)的查找
nltest /DClist:hacker(域名)
nslookup -type=SRV _ldap._tcp
net time /domain
net group "Domain Controllers" /domain 查看域控制器组
netdom query pdc
nltest /DClist:hacker
nslookup -type=SRV _ldap._tcp
net group "Domain Controllers" /domain
0x07 域内用户和管理员的获取
net user /domain
wmic useraccount get /all 获取域内用户的详细信息
dsquery user 只能在DC上执行
net localgroup administrators /domain 查询域内置管理员组
net user /domain
wmic useraccount get /all
net localgroup administrators /domain
dsquery user
spn
setspn -T hacker.lab -Q */*
