背景

• 一个具有一定规模的企业，每天都可能面临员工入职和离职，因此网络管理部门经常需要对域成员主机进行格式化消除磁的文件，然后重装系统及软件，以提供给新员工使用;因此，为了便于后期交接，大多网络管理员会做好一个系统镜像盘，统一安装所有的电脑，并且在安装的时候设置惯用、甚至统一的密码。
• 因此，域中的计算机本地管理员账号，极有可能能够登陆域中较多的计算机，本地管理员的密码在服务器上后期修改的概率，远低于在个人办公电脑上的概率，而域用户权限是较低的，是无法在域成员主机上安装软件的，这将会发生下面的一幕：
  • 某个域用户需要使用everthing（放大镜）进行电脑文件全局搜索，于是联系网络管理员进行安装，网络管理员采用域管理员身份登录了域成员主机，并帮助其安装了everthing（放大镜）软件，于是这个有计算机基础的员工，切换身份登录到了本地计算机的管理员，后执行mimikatz，从内存当中抓取了域管理员的密码，便成功的控制了整个域。
• 因此，域渗透的思路就是：通过域成员主机，定位出域控制器1P及域管理员账号，利用域成员主机作为跳板，扩大渗透范围，利用域管理员可以登陆域中任何成员主机的特性，定位出域管理员登陆过的主机IP，设法从域成员主机内存中dump出域管理员密码，进而拿下域控制器、渗透整个内网。

收集啥东西

• 当前机器角色的判断
  • 机器角色--个人PC、文件服务器、邮件服务器、数据库服务器等
• 当前机器网络环境判断
  • 网络环境--局域网、工作组、域环境
• 当前机器角色功能判断
  • 角色功能--任务、端口、服务、密码、漏洞、配置等

常规信息类收集--应用、服务、权限等

• systeminfo      //详细信息
• netstat -ano      //端口列表
• route print      //路由表
• net start      //启动服务
• tasklist      //进程列表
• schtasks      //计划任务
  • schtasks命令是Windows操作系统提供的用于创建、修改、删除和查询计划任务的命令行工具。以下是一个使用示例：
    • 1. 创建一个计划任务，该任务每天早上9点运行一次，运行的程序为C:\Program Files\test.exe，运行参数为/test。
      • 命令如下：

• • • • • schtasks /create /tn "DailyTest" /tr "C:\Program Files\test.exe /test" /sc daily /st 09:00:00
      • 解释：
        • - /create 表示创建一个新的计划任务。
        • - /tn "DailyTest" 表示指定任务名称为DailyTest。
        • - /tr "C:\Program Files\test.exe /test" 表示指定要运行的程序路径及参数。
        • - /sc daily 表示指定任务的触发器类型为每日。
        • - /st 09:00:00 表示指定任务每天触发的时间为早上9点。
    • 2. 查询计划任务DailyTest的详细信息。
      • 命令如下：

• • • • • schtasks /query /tn "DailyTest"
      • 解释：
        • - /query 表示查询计划任务的详细信息。
        • - /tn "DailyTest" 表示指定要查询的任务名称为DailyTest。
    • 3. 删除计划任务DailyTest。
      • 命令如下：

• 解释：
  • - /delete 表示删除指定的计划任务。
  • - /tn "DailyTest" 表示指定要删除的任务名称为DailyTest。
  • - /f 表示强制删除该计划任务。
• ipconfig /all      //判断存在域
• net view /domain      //查询域列表（判断存在域）
  • 如果此命令使用时报“发生系统错误6118”错误，请尝试关闭域防火墙

• net time /domain      //从域控查询时间，若当前用户是域用户会从域控返回当前时间，亦用来判断域控ip地址（判断主域）
• nslookup 域名      //追踪来源地址
• wmic service list brief      //查询本机服务
• net config workstation      //查询当前登录域及登录用户信息
• wmic startup get command,caption      //查看已启动的程序信息

架构信息类收集--网络、用户、域控等

• net view /domain      //查询域列表
• net time /domain      //从域控查询时间，若当前用户是域用户会从域控返回当前时间，亦用来判断域控ip地址
• net 1ocalgroup administrators      //本机管理员【通常含有域用户
• net user /domain      //查询域用户(当前域)
• net group "domain computers" /domain      //查看加入域的所有计算机名
• net group "domain admins" /domain      //查询域管理员用户组和域管理员用户
• net localgroup administrators /domain      //查看域管理员
• net accounts /domain      //查看域密码策略

关键信息类收集--密码、凭据、口令等

• 旨在收集各种密文，明文，口令等，为后续横向渗透做好测试准备
• 计算机用户HASH，明文获取--mimikatz(win)，mimipenguin(linux)
  • https://github.com/gentilkiwi/mimikatz/
  • https://github.com/huntergregal/mimipenguin
• 计算机各种协议服务口令获取-LaZagne(a11)，XenArmox(win)，CS插件
  • https://github.com/AlessandroZ/LaZagne/
  • XenArmor All-In-One Password Recovery Pro 2023 Software | XenArmor
• 站点源码备份文件、数据库备份文件等
• 各类数据库Web管理入口，如PHPMyAdmin
• 浏览器保存密码、浏览器Cookies
• 其他用户会话、3389和ipc$连接记录、回收站内容
• Windows 保存的WIFI密码
• 网络内部的各种帐号和密码，如:Emai1、VPN、FTP、OA等

自动化工具探针--插件、Adfind

• 下载地址链接
  • https://github.com/k8gege/LadonGo
  • http://www.joeware.net/freetools/tools/adfind/index.htm
• CS插件：LSTAR、Ladon、OLa、TaoWu等
• Adfind（LSTAR插件）
  • 列出域控制器名称：AdFind -sc dclist
  • 查询当前域中在线的计算机：AdFind -sc computers_active
  • 查询当前域中在线的计算机(只显示名称和操作系统)：AdFind -sc computers_active name operatingSystem
  • 查询当前域中所有计算机：AdFind -f "objectcategory=computer" name operatingSystem
  • 查询当前域中所有计算机(只显示名称和操作系统)：AdFind -f"objectcategory=computer" name operatingSystem
  • 查询域内所有用户：AdFind -users name
  • 查询所有GPO：AdFind -sc gpodmg