常用收集域信息命令

1
2
3
4
5
6
7
8
9
10
11
12
13
14
Net use
Net view
Tasklist /v
Ipconfig /all
net group /domain 获得所有域用户组列表
net group “domain admins” /domain 获得域管理员列表
net group “enterprise admins” /domain 获得企业管理员列表
net localgroup administrators /domain 获取域内置administrators组用户(enterprise admins、domain admins)
net group “domain controllers” /domain 获得域控制器列表
net group “domain computers” /domain 获得所有域成员计算机列表
net user /domain 获得所有域用户列表
net user someuser /domain 获得指定账户someuser的详细信息
net accounts /domain 获得域密码策略设置,密码长短,错误锁定等信息
nltest /domain_trusts 获取域信任信息

SPN扫描

不同于常规的tcp/udp端口扫描,由于spn本质就是正常的Kerberos请求,所以扫描是非常隐蔽,日前针对此类扫描的检测暂时也比较少。

大部分win系统默认已自带spn探测工具即:setspn.exe

此操作无需管理权限

域内机器执行

1
setspn -T target.com -Q */*

可完整查出当前域内所有spn。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
Checking domain DC=rootkit,DC=org
CN=OWA2013,OU=Domain Controllers,DC=rootkit,DC=org
IMAP/OWA2013
IMAP/OWA2013.rootkit.org
IMAP4/OWA2013
IMAP4/OWA2013.rootkit.org
POP/OWA2013
POP/OWA2013.rootkit.org
POP3/OWA2013
POP3/OWA2013.rootkit.org
exchangeRFR/OWA2013
exchangeRFR/OWA2013.rootkit.org
exchangeMDB/OWA2013
exchangeMDB/OWA2013.rootkit.org
SMTP/OWA2013
SMTP/OWA2013.rootkit.org
SmtpSvc/OWA2013
SmtpSvc/OWA2013.rootkit.org
exchangeAB/OWA2013
exchangeAB/OWA2013.rootkit.org
Dfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04/OWA2013.rootkit.org
ldap/OWA2013.rootkit.org/ForestDnsZones.rootkit.org
ldap/OWA2013.rootkit.org/DomainDnsZones.rootkit.org
TERMSRV/OWA2013
TERMSRV/OWA2013.rootkit.org
DNS/OWA2013.rootkit.org
GC/OWA2013.rootkit.org/rootkit.org
RestrictedKrbHost/OWA2013.rootkit.org
RestrictedKrbHost/OWA2013
RPC/58650e64-9681-4c62-b26e-7914b9041f72._msdcs.rootkit.org
HOST/OWA2013/ROOTKIT
HOST/OWA2013.rootkit.org/ROOTKIT
HOST/OWA2013
HOST/OWA2013.rootkit.org
HOST/OWA2013.rootkit.org/rootkit.org
E3514235-4B06-11D1-AB04-00C04FC2DCD2/58650e64-9681-4c62-b26e-7914b9041f72/rootkit.org
ldap/OWA2013/ROOTKIT
ldap/58650e64-9681-4c62-b26e-7914b9041f72._msdcs.rootkit.org
ldap/OWA2013.rootkit.org/ROOTKIT
ldap/OWA2013
ldap/OWA2013.rootkit.org
ldap/OWA2013.rootkit.org/rootkit.org
CN=krbtgt,CN=Users,DC=rootkit,DC=org
kadmin/changepw
CN=dbadmin,OU=运维部,DC=rootkit,DC=org
MSSQLSvc/Srv-Web-Kit.rootkit.org:1433
MSSQLSvc/Srv-Web-Kit.rootkit.org
CN=SRV-WEB-KIT,CN=Computers,DC=rootkit,DC=org
TERMSRV/SRV-WEB-KIT
TERMSRV/Srv-Web-Kit.rootkit.org
WSMAN/Srv-Web-Kit
WSMAN/Srv-Web-Kit.rootkit.org
RestrictedKrbHost/SRV-WEB-KIT
HOST/SRV-WEB-KIT
RestrictedKrbHost/Srv-Web-Kit.rootkit.org
HOST/Srv-Web-Kit.rootkit.org
CN=PC-JERRY-KIT,CN=Computers,DC=rootkit,DC=org
RestrictedKrbHost/PC-JERRY-KIT
HOST/PC-JERRY-KIT
RestrictedKrbHost/PC-jerry-Kit.rootkit.org
HOST/PC-jerry-Kit.rootkit.org
CN=PC-MICLE-KIT,CN=Computers,DC=rootkit,DC=org
RestrictedKrbHost/PC-MICLE-KIT
HOST/PC-MICLE-KIT
RestrictedKrbHost/PC-micle-Kit.rootkit.org
HOST/PC-micle-Kit.rootkit.org
CN=PC-TORNDO-KIT,CN=Computers,DC=rootkit,DC=org
HOST/PC-TORNDO-KIT
HOST/pc-torndo-Kit.rootkit.org
CN=sqladmin,OU=运维部,DC=rootkit,DC=org
variant/golden

Existing SPN found!

定位域控

查询dns解析记录

若当前主机的dns为域内dns,可通过查询dns解析记录定位域控。

1
nslookup -type=all _ldap._tcp.dc._msdcs.rootkit.org

1566979004463

SPN扫描

在SPN扫描结果中可以通过CN=OWA2013,OU=Domain Controllers,DC=rootkit,DC=org来进行域控的定位。

net group

1
net group "domain controllers" /domain

1566979395890

端口识别

扫描内网中同时开放389和53端口的机器。

1
2
3
4
5
6
7
端口:389
服务:LDAP、ILS
说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。

端口:53
服务:Domain Name Server(DNS)
说明:53端口为DNS(Domain Name Server,域名服务器)服务器所开放,主要用于域名解析,DNS服务在NT系统中使用的最为广泛。通过DNS服务器可以实现域名与IP地址之间的转换,只要记住域名就可以快速访问网站。

1566979627122

域内关键组

比如在拿到域控后可以通过重点关注关键部门人员的机器来得到更多的信息。

1566980640086

以上图为例,我们可以重点关注和监控运维部的用户机器,通常他们的机器上存在大量内网网络拓扑和网络构架信息或者是一些重要的密码本。

AdFind

C++实现(未开源),用于查询域内信息

http://www.joeware.net/freetools/tools/adfind/index.htm

常用命令如下:

列出域控制器名称:

1
AdFind -sc dclist

查询当前域中在线的计算机:

1
AdFind -sc computers_active

查询当前域中在线的计算机(只显示名称和操作系统):

1
AdFind -sc computers_active name operatingSystem

查询当前域中所有计算机:

1
AdFind -f "objectcategory=computer"

查询当前域中所有计算机(只显示名称和操作系统):

1
AdFind -f "objectcategory=computer" name operatingSystem

查询域内所有用户:

1
AdFind -users name

查询所有GPO:

1
AdFind -sc gpodmp