域信息收集命令

query user || qwinsta 查看当前在线用户

net user 查看本机用户

net user /domain 查看域用户

net view & net group "domain computers" /domain 查看当前域计算机列表 第二
个查的更多

net view /domain 查看有几个域

net view \\\\dc 查看 dc 域内共享文件

net group /domain 查看域里面的组

net group "domain admins" /domain 查看域管

net localgroup administrators /domain /这个也是查域管,是升级为域控时,
本地账户也成为域管

net group "domain controllers" /domain 域控

net time /domain

net config workstation 当前登录域 - 计算机名 - 用户名

net use \\\\域控(如 pc.xx.com) password /user:xxx.com\username 相当于这个
帐号登录域内主机,可访问资源

ipconfig

systeminfo

tasklist /svc

tasklist /S ip /U domain\username /P /V 查看远程计算机 tasklist

net localgroup administrators && whoami 查看当前是不是属于管理组

netstat -ano

nltest /dclist:xx 查看域控

whoami /all 查看 Mandatory Label uac 级别和 sid 号

net sessoin 查看远程连接 session (需要管理权限)

net share 共享目录

cmdkey /l 查看保存登陆凭证

echo %logonserver% 查看登陆域

spn –l administrator spn 记录

set 环境变量

dsquery server - 查找目录中的 AD DC/LDS 实例

dsquery user - 查找目录中的用户

dsquery computer 查询所有计算机名称 windows 2003

dir /s *.exe 查找指定目录下及子目录下没隐藏文件

arp -a   查询通信
ipconfig /all 查询当前环境

0

net user /domain 查询当前域用户

1

net time 查询 域控

2

net group /domain 查询域工作组

3

net group "domain admins" /domain 查询域管理用户

4

net group "Domain controllers"查询有几台域控制器 需要域权限

5

查找域服务器

net time 查询时间 这个命令会请求域服务器的时间
net config workstation 查看当前工作环境
nltest /dclist:域名 查询域控
ping/nslookup 查找域控

主机发现

在域内进行横行渗透时,首先要收集主机的端口和 ip 信息

net view /domain 查询域内的主机信息

发生系统错误 6118 出现这种错误时Computer Browser被禁用了, 在域管理启用即可
6

arp -a 查询通信

nbtscan.exe -r 192.168.0.0/24 发现主机

基于 MSF 的内网主机探测

使用 msf 进行反弹 shell 进行内网渗透时,通过 msf 自带的扫描模块进行快速扫
描。

主机存活探测:

auxiliary/scanner/discovery/arp_sweep ARP 扫描
auxiliary/scanner/discovery/udp_sweep UDP 扫描
auxiliary/scanner/netbios/nbname NETBIOS 扫描
auxiliary/scanner/snmp/snmp_enum SNMP 扫描
auxiliary/scanner/smb/smb_version SMB 扫描
端口扫描:
auxiliary/scanner/portscan/ack TCP ACK 端口扫描
auxiliary/scanner/portscan/ftpbounce FTP bounce 端口扫描
auxiliary/scanner/portscan/syn SYN 端口扫描
auxiliary/scanner/portscan/tcp TCP 端口扫描
auxiliary/scanner/portscan/xmas TCP XMas 端口扫描

Nmap

Nmap 是一个端口扫描器,可用于主机发现、端口扫描、版本检测、OS 检测等。

使用场景:建立 socks 代理,proxychains+Nmap 扫描内网。

支持多种扫描模式:

-sT: TCP 扫描

-sS: SYN 扫描

-sA: ACK 扫描

-sF:FIN 扫描

-sU: UDP 扫描

-sR: RPC 扫描

-sP: ICMP 扫描

快速扫描所有端口:

nmap -sS -p 1-65535 -v 192.168.99.177

常见的端口与服务

端口号 端口说明 攻击技巧
21/22/69 ftp/tftp:文件传输协议 爆破\嗅探\溢出\后门
22 ssh:远程连接 爆破 OpenSSH;28个退格
23 telnet:远程连接 爆破\嗅探
25 smtp:邮件服务 邮件伪造
53 DNS:域名系统 DNS 区域传输\DNS 劫持\DNS 缓存投毒\DNS欺骗\利用 DNS 隧道技术刺透防火墙
67/68 dhcp 劫持\欺骗
110 pop3 爆破
139 samba 爆破\未授权访问\远程代码执行
143 imap 爆破
161 snmp 爆破
389 ldap 注入攻击\未授权访问
445 SMB 远程代码执行
512/513/514 linux r 直接使用 rlogin
873 rsync 未授权访问
1080 socket 爆破:进行内网渗透
1352 lotus 爆破:弱口令\信息泄漏:源代码
1433 mssql 爆破:使用系统用户登录\注入攻击
1521 oracle 爆破:TNS\注入攻击
2049 nfs 配置不当
2181 zookeeper 未授权访问
3306 mysql 爆破\拒绝服务\注入
3389 rdp 爆破\Shift 后门
4848 glassfish 爆破:控制台弱口令\认证绕过
5000 sybase/DB2 爆破\注入
5432 postgresql 缓冲区溢出\注入攻击\爆破:弱口令
5632 pcanywhere 拒绝服务\代码执行
5900 vnc 爆破:弱口令\认证绕过
6379 redis 未授权访问\爆破:弱口令
7001 weblogic Java 反序列化\控制台弱口令\控制台部署webshell
80/443/8080 web 常见 web 攻击\控制台爆破\对应服务器版本漏洞
8069 zabbix 远程命令执行
9080 websphere 远程命令执行
9090 websphere 控制台 爆破:控制台弱口令\Java 反序列
9200/9300 elasticsearch 远程代码执行
11211 memcacache 未授权访问
27017 mongodb 爆破\未授权访问