域渗透系列---域内敏感信息搜集

0x01 获取所在域信息

通常我们打进一个windows据点，会判断自己是在工作组中还是域中，这将对接下来的选择何种渗透方法有关键作用

• 利用时间同步命令： net time /domain
  

  同步时间.png

• 利用网络配置命令： net config workstation
  

  网络配置.png

• 利用账户查询命令：net user administrator /domain
  

  账户查询.png

0x02 定位域控制器

域控制器( Domain controller，DC)是活动目录的存储位置,安装了活动目录的计算机称为域控制器。在第一次安装活动目录时,安装活动目录的那台计算机就成为域控制器,简称“域控”。域控制器存储着目录数据并管理用户域的交互关系,其中包括用户登录过程、身份验证和目录搜索等。所以有经验的攻击者一般都会将域控作为域渗透中的终极目标，只要拿下域控就意味着可以控制整个域权限及资源

• nslookup
set type=all
_ldap._tcp.dc._msdcs.DOMAIN_NAME
  

  nslookup.png

• nltest /dclist:DOMAIN_NAME
  

  nltest.png

• powershell命令: [System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain().DomainControllers | select IPAddress,Name
  

  powershell.png

• net group "domain controllers" /domain
  

  dc.png

0x03 定位域管理员

域管理员，具有域控制器所有的管理权限，同时可以对域内资源进行添加和删除

• net group "domain admins" /domain
  

  group.png

• SysinternalsSuite软件包中的工具:
PsLoggedon.exe \\DOMAIN_CONTROLLER
  

  PsLoggedon.png
  
  PS：使用PsLoggedon与net group命令区别是PsLoggedon提取的是活跃的域管理员session记录，也就是说如果成功登陆上去AD可以使用mimikatz提取到这些活跃的域管hash，而net group显示的域管账号更全一些

0x04 PowerView.ps1

powerview是一个基于powershell语言的windows内网利用框架，在内网和域渗透中，可以快速收集敏感信息。由于内置命令太多，只列举几个常用的命令。
下载地址：https://github.com/PowerShellMafia/PowerSploit/blob/master/Recon/PowerView.ps1

ex1.查询哪些账号登录过指定主机
Get-NetLoggedon -ComputerName XXXXXX

Get-NetLoggedon.png

ex2.获取信任的域林
Get-NetForestTrust

Get-NetForestTrust.png

ex3.获取指定域里包含admin关键字的OU条目
Get-DomainOU *admin* -Domain DOMAIN_NAME

Get-DomainOU.png

ex4.获取目标有价值的域共享
Find-InterestingDomainShareFile -ComputerName HOSTNAME

Find-InterestingDomainShareFile.png

0x05 BloodHound

BloodHound是一个域网络分析神器，可以快速梳理出整个域内拓扑结构，方便渗透人员寻找最短攻击路径以及高价值目标。搭建和测试很多文章都有写了，这里就不做过多说明。
下载地址：
https://github.com/BloodHoundAD/BloodHound

BloodHound.png

PS:BloodHound由于要向域控进行大量的数据请求解析，所以会产生大量的告警流量，所以很容易被发现定位。