1、内网安全-域信息收集&CS插件&Adfind&BloodHound

用途：个人在线笔记，有所借鉴，欢迎指正

概念理解：

1、域环境：域实现的是主从管理模式，通过一台域控制器来集中管理域内用户帐号和权限，帐号信息保存在域控制器内，共享信息分散在每台计算机中，但是访问权限由控制器统一管理。这是两者最大的不同。

2、工作组：实现的是分散的管理模式，每一台计算机都是独立自主的，用户账户和权限信息保存在本机中，同时借助工作组来共享信息，共享信息的权限设置由每台计算机控制。

 内网域背景：

 大型公司企业为了便于管理，为了内部资源的安全访问等方面，所以有了公司的域环境。大型公司，企业内部网络管理人员，经常要面对给公司内部员工的入职离职，要经常对内部电脑进行磁盘格式化，重装系统等操作，这里管理人员为了方便操作，一般就会统一制定系统镜像盘，统一安装系统，甚至统一使用相同密码，便于管理。所以域内计算机本地管理员账号极有可能可以登录大多数计算机，且该管理账号修改密码的可能性极低

 内网渗透场景：

当域内成员登录域内计算机时，自己是无法安装软件的（域用户在域内权限较低），需要叫管理员来安装软件使用。这时管理员会在计算机登录自己的管理账户帮助域内成员安装软件。同时，也会在域内计算机留下自己的登录信息。这时当外部成员拿到了一台内网主机的权限时，就要开始收集信息，定位出域控制器的IP及域管理员的账号，利用域成员主机为跳板扩大渗透范围，得到域控账密，从而拿下域控制器，渗透整个内网。

因此，域渗透的思路就是：通过域成员主机，定位出域控制器 IP 及域管理员账号，利用
域成员主机作为跳板，扩大渗透范围，利用域管理员可以登陆域中任何成员主机的特性，
定位出域管理员登陆过的主机 IP，设法从域成员主机内存中 dump 出域管理员密码，进
而拿下域控制器、渗透整个内网。

1、域成员主机判断：

主机运行命令：net view /domain 或者net time /domain，有信息返回没报错则是域成员主机，否则不是

2、域信息收集：

(1)对于域成员主机，可通过命令net time /domain 看到域控主机名，再ping一下这个主机名可得到域控主机的IP

(2)通过以下whidow命令，还可以获取其他域成员主机，以及所有域用户

net view /domain 查询域列表
net time /domain 从域控查询时间，若当前用户是域用户会从域控返回当前时间域
net localgroup administrators 本机管理员【通常含有域用户】
net user /domain 查询域用户(当前域)
net group /domain 查询域工作组
net group "domain computers" /domain 查看加入域的所有计算机名
net group "domain admins" /domain 查询域管理员用户组和域管用户
net localgroup administrators /domain 查看域管理员
net group "domain controllers" /domain 查看域控
net accounts /domain     查看域密码策略

3、CS插件实现自动化域信息收集

使用插件：LSTAR， Ladon，OLa ，TaoWu等对域成员主机进行内网探针，信息收集等，为横向移动做准备

4、使用工具Adfind

概述:
Adfind.是一款命令行工具Q,它通过LDAP协议与Active Directoryi进行通信。它具有丰富的查询功能，可以帮助你查找域中的用户、组、计算机等对象，并获取它们的属性信息。

使用参考：Adfind使用-CSDN博客

5、使用工具BloodHound

网址：github.com/BloodHoundAD/BloodHound
安装&使用：
http://cn-sec.com/archives/146548.html
1、启动neo4j neo4j.bat console
2、启动BloodHound BloodHound.exe
3、运行程序后将生成数据导入，筛选查看