nltest在windows03以下不是内置的,在windwos03以后的机器都内置有。
信任域:可以在工作组里查询,查询内网里是否有域环境
查找受信任域的方法:
一、首先查看当前域的DNS服务器:
ipconfig /all
DNS服务器是:192.168.3.21
二:然后查询192.168.3.21的受信任域:
nltest /domain_trusts /all_trusts /v /server:192.168.3.21[dns的ip]
:0: GOD god.org (NT 5) (Forest Tree Root) (Primary Domain) (Native)Dom Guid: b69e6e2b-e72e-4011-b66f-e5eb129496a3Dom Sid: S-1-5-21-1218902331-2157346161-1782232778解释:0:代表是第一个域,如果有多个,那么会有1,2,3...等等类似GOD:是内网域环境的名字
三:查询域控和其他信息,GOD是上个步骤结果中的域名字。
nltest /dsgetdc:GOD /server:192.168.3.21[域控ip]
DC: \\OWA2010CN-GOD地址: \\192.168.3.21 Dom Guid: b69e6e2b-e72e-4011-b66f-e5eb129496a3Dom 名称: GOD林名称: god.orgDC 站点名称: Default-First-Site-Name我们的站点名称: Default-First-Site-Name 标志: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_FOREST CLOSE_SITE FULL_SECRET WS
csvde -setspn GOD[域的名字] -f hack.csv
LDAP的存储规则:一般存储的是域的信息区分名(DN,Distinguished Name)一个条目的区分名称叫做“dn”或者叫做区分名。在一个目录中这个名称总是唯一的。CN=Common Nmae 为用户名或服务器名,最长可以到80个字符,可以为中文。OU=Organization Unit为组织单元,最多可以有四级,没级最长32个字符,可以为中文。O=Organization为组织名,可以3-64个字符长度。C=Country为国家名,可选,为2个字符长度。
SPN官方名称叫做“服务主体名称”,本质上存的就是域内各种服务资源的对应关系。
如:对应的服务类型是什么?机器名是多少?服务端口是多少?
借助SPN可以快速定位当前目标域中所有存活的各类服务器。
setspn -T GOD[域的名字] -Q */*
还可以指定查询:查询MSSQL
setspn -T GOD -Q */* | findstr MSSQL
dnsdump工具可以获取域环境下所有机器对应的IP
下载地址:https://github.com/dirkjanm/adidnsdump
域控制器名可以用setspn命令查看:
dnsdump.exe -u [域名]\域用户 -p 域密码 域控制器名 -rdnsdump.exe -u GOD\mary -p aadmin!@#45
如果你拿到了一个域用户的主机,那么就可以通过net命令来进行域内信息搜集。
一:获取域用户列表
net user /domain
二:获取域管理员列表
net group "domain admins" /domain
三:查看域控制器(如果有多台)
net group "domain controllers" /domain
四:查看域机器
net group "domain computers" /domain
五:查询域里面的组
net group /domain
六:查看同一域内机器列表
net view
七:查看某IP共享
net view \\ip
八:查看Mary计算机的共享资源列表
如果有就会显示,如果没有就会显示:列表是空的
net view \\mary
九:查看内网存在多少个域
net view /domain
十:查看XXX域中的机器列表
net view /doamin:GOD
nbtscan可以快速扫描内网中存活的机器:
nbtscan.exe 192.168.3.0/24
参考文章:
https://blog.51cto.com/kinpui/1329793
https://blog.csdn.net/qq_20336817/article/details/42320189
文章评论