掌握常用的域信息收集的方法和域控制器攻击的方法(渗透课程)

域信息收集

【实验目的】

通过利用PsExec命令远程连接内网主机，分别收集查询域用户信息和域控制器相关信息，了解并掌握如何收集域内的信息命令。

【知识点】

域信息收集

【实验原理】

NET命令是功能强大的以命令行方式执行的工具。它包含了管理网络环境、服务、用户、登陆等Windows 98/NT/2000 中大部分重要的管理功能。使用它可以轻松的管理本地或者远程计算机的网络环境，以及各种服务程序的运行和配置。或者进行用户管理和登陆管理等。

NSLOOKUP是NT、2000中连接DNS服务器，查询域名信息的一个非常有用的命令，可以指定查询的类型，可以查到DNS记录的生存时间还可以指定使用哪个DNS服务器进行解释。在已安装TCP/IP协议的电脑上面均可以使用这个命令。主要用来诊断域名系统 (DNS) 基础结构的信息。

简称WMI，WMIC提供了简单的Windows Management Instrumentation（WMI）命令行界面，这样用户可利用WMI来管理运行Microsoft Windows的计算机，WMIC与现有命令行程序和实用程序命令相互操作，且很容易通过脚本或其他面向管理的应用程序来扩展WMIC。

SYSVOL是所有经过身份验证的用户具有读访问权限的Active Directory中的域范围共享。SYSVOL是指存储域公共文件服务器副本的共享文件夹，它们在域中所有的域控制器之间复制。 Sysvol文件夹是安装AD时创建的，它用来存放GPO、Script等信息。同时，存放在Sysvol文件夹中的信息，会复制到域中所有DC上。SYSVOL包含登录脚本，组策略数据以及需要在任何有域控制器的任何地方可用的其他域范围数据(因为SYSVOL在所有域控制器之间自动同步并共享)。

【软件工具】

服务器：Windows Server 2008 1台；防火墙 1台；Windows 10 2台；Windows 2016 1台；
交换机/路由：交换机 4台；路由器 1台；
软件：PsExec；
【实验预期】

1.域内基础信息收集。
2.域控制器信息收集。
3.利用域内默认共享文件夹查询相关配置列表。

【实验步骤】
1. 前期准备

单击上方菜单栏中的【环境申请】按钮启动实验拓扑，选择拓扑图中左下方的【攻击机2-Windows】，按右键，在弹出的菜单中选择【控制台】，登录【攻击机2-Windows】界面，如下图所示。

双击打开桌面上的远程桌面，单击【连接】按钮，连接目标202.1.10.34服务器，如下图所示。

进入远程桌面窗口，关闭服务器管理器窗口，复制攻击机2-windows桌面【工具】→【pstools】的【PsExec.exe】文件至网站门户1【202.1.10.37】的桌面，如下图所示。

在桌面shift+右键弹出菜单，选择【在此处打开命令提示符】，如下图所示。

弹出命令提示符窗口后，输入以下命令并按回车，使用net use命令使门户网站1【202.1.10.34】与内网域主机【10.0.18.22】之间建立ipc$连接，如下图所示。
```
net use \\10.0.18.22\ipc$ "Xw@A0107." /user:"xiaowang@zhida.com"
```
注：创建ipc格式为：【net use \\IP\ipc “密码” /user:“账户名” 】。
在第八单元的8.1子任务EarthWorm一级隧道代理得知10.0.18.22内网主机用户名为【xiaowang】，密码为【Xw@A0107.】。

2.域内基础信息收集

输入【net use】命令并按回车，查看ipc是否建立成功，结果显示已成功建立ipc，如下图所示。

输入以下命令并按回车，利用PsExec.exe远程连接10.0.18.54的ipc$，并成功进入【10.0.18.54】的cmd窗口，如下图所示。
```
PsExec.exe -accepteula \\10.0.18.22 -s cmd.exe
```
注：以下为参数解释：
-accepteula参数=指定是否自动接受Microsoft软件许可条款。
-s=指定在远程主机上以system账户来运程序。

输入以下命令并按回车，使用net命令查看当前存在几个域，结果显示【ZHIDA】一个域，如下图所示。
```
net view /domain
```
输入以下命令并按回车，使用net命令查看域时间及域服务器的名字，服务器名为【WINDOWS2016】，如下图所示。
```
net time /domain
```
输入以下命令并按回车，使用net命令查询域内的所以工作组，如下图所示。
```
net group /domain
```
输入以下命令并按回车，使用net命令查询所有域成员的计算机名，如下图所示。
```
net group "domain computers" /domain
```
输入以下命令并按回车，使用net命令获取域内密码策略，如下图所示。
```
net accounts /domain
```
3.域控制器信息收集

输入以下命令并按回车，使用nslookup查询域控制器的SRV记录，如下图所示。
```
nslookup -type=SRV _ldap._tcp
```
注：SRV记录（服务器资源记录）是DNS服务器数据库中的一种资源记录类型，它的作用是说明一个服务器能够提供什么样的服务，在SRV记录当中存在四个分组，其中包含_tcp分组，在这个分组中，搜集了DNS区域中所有DC。

输入以下命令并按回车，使用net命令查询DC控制器的主机名和主机，结果显示未【WINDOWS2016$】，如下图所示。
```
 net group "Domain Controllers" /domain
```
输入以下命令并按回车，使用wmic命令查询域内所有用户的详细信息，如下图所示。
```
wmic useraccount get /all 
```
输入以下命令并按回车，使用net命令查询域管理员组，结果显示查询域管理员用户组未【Administrator】用户，如下图所示。

4.利用域内默认共享文件夹查询配置策略

输入以下命令并按回车，使用net use将域内的SYSVOL共享文件夹映射到该域用户的z盘，如下图所示。
```
net use z: \\zhida.com\SYSVOL\zhida.com "Xw@A0107." /user:"xiaowang@zhida.com"
```
注：在域中，存在一个默认的共享路径：\\<DOMAIN>\SYSVOL\<DOMAIN>\，所有域内主机都能访问。
SYSVOL是所有经过身份验证的用户具有读访问权限的Active Directory中的域范围共享。SYSVOL是指存储域公共文件服务器副本的共享文件夹，它们在域中所有的域控制器之间复制。 Sysvol文件夹是安装AD时创建的，它用来存放GPO、Script等信息。同时，存放在Sysvol文件夹中的信息，会复制到域中所有DC上。SYSVOL包含登录脚本，组策略数据以及需要在任何有域控制器的任何地方可用的其他域范围数据(因为SYSVOL在所有域控制器之间自动同步并共享)。所有域组策略都存储在如\\zhida.com\SYSVOL\\zhida.com\\Policies。

输入【net use】命令并按回车，查看是否建立成功，结果显示已成功映射在Z盘，如下图所示。

输入【z:】切换进入z盘目录，如下图所示。

输入dir命令并按回车，列出当前目录保存组策略相关数据，包含登录脚本配置文件等，如下图所示。

【实验结论】

通过上述操作，利用PsExec命令远程连接内网主机，分别收集查询域用户信息和域控制器相关信息，了解并掌握如何收集域内的信息命令，符合实验预期。