nltest在windows03以下不是内置的,在windwos03以后的机器都内置有。
信任域:可以在工作组里查询,查询内网里是否有域环境
查找受信任域的方法:
一、首先查看当前域的DNS服务器:
1 |
ipconfig /all |
DNS服务器是:192.168.3.21
二:然后查询192.168.3.21的受信任域:
1 |
nltest /domain_trusts /all_trusts /v /server:192.168.3.21[dns的ip] |
1 |
[crayon-6074c76432312151973357 inline="true" ]<span class="code-snippet_outer"><span class="code-snippet__meta">域信任的列表</span>:</span> |
三:查询域控和其他信息,GOD是上个步骤结果中的域名字。
1 |
nltest /dsgetdc:GOD /server:192.168.3.21[域控ip] |
1 |
DC: \\OWA2010CN-GOD地址: \\192.168.3.21 Dom Guid: b69e6e2b-e72e-4011-b66f-e5eb129496a3Dom 名称: GOD林名称: god.orgDC 站点名称: Default-First-Site-Name我们的站点名称: Default-First-Site-Name 标志: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_FOREST CLOSE_SITE FULL_SECRET WS |
1 |
csvde -setspn GOD[域的名字] -f hack.csv |
1 |
LDAP的存储规则:一般存储的是域的信息区分名(DN,Distinguished Name)一个条目的区分名称叫做“dn”或者叫做区分名。在一个目录中这个名称总是唯一的。CN=Common Nmae 为用户名或服务器名,最长可以到80个字符,可以为中文。OU=Organization Unit为组织单元,最多可以有四级,没级最长32个字符,可以为中文。O=Organization为组织名,可以3-64个字符长度。C=Country为国家名,可选,为2个字符长度。 |
SPN官方名称叫做“服务主体名称”,本质上存的就是域内各种服务资源的对应关系。
如:对应的服务类型是什么?机器名是多少?服务端口是多少?
借助SPN可以快速定位当前目标域中所有存活的各类服务器。
1 |
setspn -T GOD[域的名字] -Q */* |
还可以指定查询:查询MSSQL
1 |
setspn -T GOD -Q */* | findstr MSSQL |
dnsdump工具可以获取域环境下所有机器对应的IP
下载地址:https://github.com/dirkjanm/adidnsdump
域控制器名可以用setspn命令查看:
1 |
dnsdump.exe -u [域名]\域用户 -p 域密码 域控制器名 -rdnsdump.exe -u GOD\mary -p aadmin!@#45 |
如果你拿到了一个域用户的主机,那么就可以通过net命令来进行域内信息搜集。
一:获取域用户列表
1 |
net user /domain |
二:获取域管理员列表
1 |
net group "domain admins" /domain |
三:查看域控制器(如果有多台)
1 |
net group "domain controllers" /domain |
四:查看域机器
1 |
net group "domain computers" /domain |
五:查询域里面的组
1 |
net group /domain |
六:查看同一域内机器列表
1 |
net view |
七:查看某IP共享
1 |
net view \\ip |
八:查看Mary计算机的共享资源列表
如果有就会显示,如果没有就会显示:列表是空的
1 |
net view \\mary |
九:查看内网存在多少个域
1 |
net view /domain |
十:查看XXX域中的机器列表
1 |
net view /doamin:GOD |
nbtscan可以快速扫描内网中存活的机器:
1 |
nbtscan.exe 192.168.3.0/24 |
参考文章:
https://blog.51cto.com/kinpui/1329793
https://blog.csdn.net/qq_20336817/article/details/42320189
文章评论