本文转载自微信公众号《绕路》,作者绕路。转载本文请联系旁路公众号。在获取域中Windows服务器的权限时,我们需要尽可能多地收集能够获取的域的信息。我们收集的域信息越多,拿下域控制器的成功率就越高。01、判断是否存在域(1)一般我们在收集本地信息,查询IP网络或系统信息时,很容易发现域控的存在。ipconfig/all命令systeminfo命令(2)查看当前登录域和域用户netconfigworkstation(3)域服务器将同时作为时间服务器,所以使用如下命令确定主域。运行nettime/domain命令后,一般有如下三种情况:1.有域,但当前用户不是域用户,提示权限不够C:\Users>bypass>nettime/domain系统错误5访问被拒绝。2、域存在,当前用户为域用户C:\Users\Administrator>Thecurrenttimeofnettime/domain\\dc.test.comis2020/10/2321:18:37命令成功完成。3、当前网络环境为工作组,域C:\Users\Administrator>nettime/domain找不到WORKGROUP域的域控制器。02、查找域控制器(1)一般来说,域控制器服务器的IP地址就是DNS服务器地址,通过查找DNS服务器地址就可以定位到域控制器。nslookup/ping域名,解析到域控服务器的IP地址(2)查看域控机器名nltest/DCLIST:test.com(3)查看域控netgroup“DomainControllers”/domain3,得到域内的用户和管理员(1)查询域内所有用户组列表netgroup/domain(2)查询域管理员列表netgroup"DomainAdmins"/domain(3)获取所有域用户列表netuser/domain(4)获取指定域用户的详细信息bypassnetuserbypass/domain(5)查询域内置的本地管理员组usernetlocalgroupadministrators/domain04,定位域管理员如果我们可以查到域管理员登录了哪些服务器中,我们可以攻击这些服务器,并尝试利用它们获取域管理员权限。(1)PowerViewPowerView.ps1集成在PowerSploit框架中,脚本完全依赖PowerShell和WMI查询。域用户权限,可获取的信息与用户权限相关,本地管理员用户无法查询。下载地址:https://github.com/PowerShellEmpire/PowerTools获取所有域管理员的登录位置信息:(2)PsLoggedOnPsLoggedOn是PSTools工具包中的一个小程序,显示本地登录的用户和本地计算机或remote计算机的资源登录用户。本地管理员无法查询域用户权限。下载地址:https://docs.microsoft.com/en-us/sysinternals/downloads/psloggedon查看域控制器当前登录的用户:(3)PVEFindADUser下载地址:https://github.com/chrisdee/Tools/tree/master/AD/ADFindUsersLoggedOn以域用户执行,查看域内所有计算机的登录用户:05.查找域管理进程通过域管理员列表与本地进程和进程用户的对比,可以找到由域管理员进程运行的那些。netgroup"domainadmins"/domain//获取域管理员列表tasklist/v//列出本机所有进程和进程用户
