0x01 获取所在域信息
通常我们打进一个windows据点,会判断自己是在工作组中还是域中,这将对接下来的选择何种渗透方法有关键作用
-
利用时间同步命令:
net time /domain
同步时间.png
-
利用网络配置命令:
net config workstation
网络配置.png
-
利用账户查询命令:
net user administrator /domain
账户查询.png
0x02 定位域控制器
域控制器( Domain controller,DC)是活动目录的存储位置,安装了活动目录的计算机称为域控制器。在第一次安装活动目录时,安装活动目录的那台计算机就成为域控制器,简称“域控”。域控制器存储着目录数据并管理用户域的交互关系,其中包括用户登录过程、身份验证和目录搜索等。所以有经验的攻击者一般都会将域控作为域渗透中的终极目标,只要拿下域控就意味着可以控制整个域权限及资源
-
nslookup
set type=all
_ldap._tcp.dc._msdcs.DOMAIN_NAME
nslookup.png
-
nltest /dclist:DOMAIN_NAME
nltest.png
-
powershell命令: [System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain().DomainControllers | select IPAddress,Name
powershell.png
-
net group "domain controllers" /domain
dc.png
0x03 定位域管理员
域管理员,具有域控制器所有的管理权限,同时可以对域内资源进行添加和删除
-
net group "domain admins" /domain
group.png
-
SysinternalsSuite软件包中的工具:
PsLoggedon.exe \\DOMAIN_CONTROLLER
PsLoggedon.png
PS:使用PsLoggedon与net group命令区别是PsLoggedon提取的是活跃的域管理员session记录,也就是说如果成功登陆上去AD可以使用mimikatz提取到这些活跃的域管hash,而net group显示的域管账号更全一些
0x04 PowerView.ps1
powerview是一个基于powershell语言的windows内网利用框架,在内网和域渗透中,可以快速收集敏感信息。由于内置命令太多,只列举几个常用的命令。
下载地址:https://github.com/PowerShellMafia/PowerSploit/blob/master/Recon/PowerView.ps1
ex1.查询哪些账号登录过指定主机
Get-NetLoggedon -ComputerName XXXXXX
Get-NetLoggedon.png
ex2.获取信任的域林
Get-NetForestTrust
Get-NetForestTrust.png
ex3.获取指定域里包含admin关键字的OU条目
Get-DomainOU *admin* -Domain DOMAIN_NAME
Get-DomainOU.png
ex4.获取目标有价值的域共享
Find-InterestingDomainShareFile -ComputerName HOSTNAME
Find-InterestingDomainShareFile.png
0x05 BloodHound
BloodHound是一个域网络分析神器,可以快速梳理出整个域内拓扑结构,方便渗透人员寻找最短攻击路径以及高价值目标。搭建和测试很多文章都有写了,这里就不做过多说明。
下载地址:
https://github.com/BloodHoundAD/BloodHound
BloodHound.png
PS:BloodHound由于要向域控进行大量的数据请求解析,所以会产生大量的告警流量,所以很容易被发现定位。
网友评论