域内信息收集

域基础信息收集

判断是否有域

ipconfig /all
systeminfo WORKGROUP
net config workstation
net time /domain


基础信息收集

net view /domain
net view /domain:XXX
net group /domain
net group "domain computers" /domain
net accounts /domain
nltest /domain_trusts


查询所有域用户列表

net user /domain
wmic useraccount get /all
dsquery user
net localgroup administrators /domain

域内主机信息收集

定位域控
时间服务器

net time /domain
w32tm /query


DNS 服务器

Get-DnsClientServerAddress 查询本机 DNS SERVER 设置
向 DNS server 查询 Domain Name A 记录对应地址


域控定位器

DC Locator Process
产生 DNS 查询,沿用 DC Locator 的机制很安全
Kerberos 认证,KDC
GC
查询工具
• nltest 提取域控信息的过程
• net
• dsquery 通过对 LDAP 进行查询
dsquery/ADSISearcher 使用明文的 LDAP 协议,容易 被 IDS 捕获

域外主机信息收集

DNS 排查

Scan UDP/53
Query DNS FQDN from DNS
Query Locators from DNS


LDAP(S)& GC(S)

扫描端口,利用特性筛查域名
匿名读取部分 LDAP 元数据
读取 LDAP 证书信息
GC 服务 查询 TCP/3268 TCP/3269
防御:可以关闭匿名绑定


查询 LDAP(S)服务

ADexplorer:GUI,一些 cmdlet
Get-ADUser
Powerview:大量 cmdlet


Kerberos

AS-REQ & AS-REP
KDC TGT 票据
基于 AS 协议的用户枚举
• KERBEROSUSERENUM(a-team github)
• MSF 模块

ASREPROAST
• Session Key,使用用户的 NTHASH 加密
• John/HashCat 可以进行离线破解
SPN(Service Principal Name)域对象的属性,对象是 机器/用户,必须设置

TGS-REQ & TGS-REP
• 服务票据
• Service Ticket
• 结论:普通域账号申请服务票据后可以对账号离 线破解
• KERBEROAST 攻击(基于上述结论)
- Rubeus.exe - PowerView


HUNT DOMAIN ADMIN

特定用户登录会话
• 远程会话枚举
- NetSessionEnum(SMB 会话)
- NetWkstaUserEnum(交互登录会话)新 版本系统需要 admin privilige

• 远程用户枚举
- 场景:一些同域管理账号同名的本地账号 可能是同一人创建
- SAMR 查询组和成员信息(注:Win 10 后没有 admin 无法枚举)
- LSARPC 查询 SID 相关

• 远程登录枚举
- 交互式登陆:主要指 Console 和 RDP 登 陆的方式
获取主机权限:Vul RBCD & RPRN
提取遗留的凭据: Powerview Mimikatz
得到用户权限

域管理员信息收集

域管理员信息收集

net group "Domain Admins" /domain

域控定位

域控定位

nltest /DCLIST:XXX
nslookup -type=SRV _ldap._tcp
net time /domain
net group "Domain Controllers" /domain
netdom query pdc