**关于域渗透学习笔记**

1、首先判断是否在域环境还是工作组环境

net config workstation 查看当前登陆域及域用户

工作站域显示REDTEAM 为域环境

工作组显示为WORKGROUP

net time /domain 查看域内时间

用来分辨是否是域用户，不是域用户会显示拒绝访问

2、信息收集

ipconfig /all 查看当前网卡信息

systeminfo 查看系统信息，可得知域

systeminfo | findstr /B /C:"OS Name(名称)" /C:"OS Version(版本)" 为了提权，可以搜索关于版本的漏洞exp

echo %PROCESSOR_ARCHITECTURE% 查看系统体系结构，得知系统兼容性

wmic product get name,version 查看软件安装版本、路径 ，可用做后续dll劫持提权

wmic service list brief 查询本机服务信息

tasklist 查看当前进程 /v 查看进程对应用户身份 /svc 查看是否运行杀毒软件

wmic startup get command,caption 查看运行程序信息， 可通过修改自启动位置中的目录指向恶意程序或者脚本

schtasks /query /fo LIST /v 查看计划任务，

netstat -ano 查看端口开放情况

systeminfo 查看补丁信息 wmic qfe get Caption,Description,Ho0tFixID,InstalledOn

route print 查看路由表及所有可用接口的arp缓冲表

arp -a 通过查看路由表得知内网存活机器

netsh firewall show config 查看防火墙配置

若是想修改防⽕墙配置信息就可以使⽤：

win 2003及之前的版本，运⾏指定程序全部连接：

netsh firewall add allowedprogram c:\nc.exe "allow nc" enable

win 2003之后的版本⽤这条：

netsh advfirewall firewall add rule name="pass nc" dir=in action=allow

program="C:\nc.exe"

允许指定程序连出，命令如下

`netsh advfirewall firewall add rule name="Allow nc" dir=out action=allow program="C: \nc.exe"` 允许 3389 端⼝放⾏，命令如下

`netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow`

⾃定义防⽕墙⽇志储存位置

netsh advfirewall set currentprofile logging filename "C:\windows\temp\fw.log" 若是想要关闭防⽕墙就可以使⽤：

win 2003及之前的版本⽤这条命令：

netsh firewall set opmode disable

win 2003之后的版本⽤这条命令：

netsh advfirewall set allprofiles state off

查询并开启远程桌面连接服务

REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /V PortNumber

⼀些开启远程桌⾯的命令：

在 Windows Server 2003 中开启 3389 端⼝

wmic path win32_terminalservicesetting where (__CLASS !="") call setallowtsconnections 1

在 Windows Server 2008 和 Windows Server 2012 中开启 3389 端⼝

`wmic /namespace:\\root\cimv2\terminalservices path win32_terminalservicesetting where (__CLASS !="") call setallowtsconnections 1 wmic /namespace:\\root\cimv2\terminalservices path win32_tsgeneralsetting where (TerminalName='RDP-Tcp') call setuserauthenticationrequired 1`

在 Windows 7 中开启 3389 端⼝

reg add "HKLM\SYSTEM\CURRENT\CONTROLSET\CONTROL\TERMINAL SERVER" /v fSingleSessionPerUser /t REG_DWORD /d 0 /f

3、域信息搜集

获取域SID whomi /all

查询域内用户 net user /domain

域用户详细信息 net user XXX /domain

查询域列表 net view /domain

查询域管理员列表 net group "domain admins" /domain

查看域内时间（时间服务器）net time /domain

通过查看域内时间（时间服务器），我们得知了当前域的时间，我们就可以使⽤定时任务+IPC来运⾏⼀些bat⽂ 件。 我们还知道当前域的时间服务器是 AD2-2016，我们可以 Ping ⼀下它的机器名就知道它的 IP 是多少。

查看登陆本机的域管理员 net localgroup administrators /domain

查看域内所有⽤户组列表 net group /domain

查看主域控制器 netdom query pdc

查看所有域控制器列表 net group "Domain Controllers" /domain

⼀个域可以有多个域控制器，通过查看域控制器列表我们就可以得到域控制器对应的机器名是多少，如果想要知道 它的 IP 是多少，我们只需要 Ping 它的机器名即可得到域控制器的 IP 地址：

我们就可以针对性的对域控制器渗透，只渗透核⼼机器，拿下域控制器权限整个域也就拿到⼿了。

查询域信任信息 nltest /domain_trusts

通过查询域信任信息我们就可以知道当前有多少个域，域名是多少。

查询域密码信息 net accounts /domain

通过查询域密码信息我们就可以知道当前域⽤户多久修改⼀次密码，密码策略是多少（我们就可以根据密码策略来 制定⼀份密码字典，盲⽬的⽤字典会很浪费时间）