Metadata
| Author | Tahir |
|---|---|
| Creation Date | 2021/08/04 |
| Modification Date | 2021/08/04 |
| Tactics | None |
| Techniques | None |
Tactics
None
Techniques
None
Procedure
查询当前权限
查看当前权限
1 | whoami |
获取当前权限有以下三种情况:
- 本地普通用户:当前为tahir-pc本机的tahir用户
- 本地管理员用户:当前为tahir-pc本机的tahir(管理员)用户
- 域内用户:当前为test域内的testuser用户
在这三种情况中,如果当前内网中存在域,那么本地普通用户只能查询本机相关信息,不能查询域内信息,而本地管理员用户和域内用户可以查询域信息。原因是:域内所有查询都是通过域控制器实现的(基于LDAP协议),而这个查询需要经过权限认证,所以只有与用户才拥有这个权限。当域用户执行查询命令时,会自动使用kerberos协议进行认证,无须额外输入账号和密码。
本地管理员Administrator权限可以直接提升为Ntauthority或者System权限,因此在域中,除普通用户外,所有机器都有一个机器用户(用户名是机器名加上$)。本质上,机器的system用户对应的就是域里面的机器用户。所以使用System权限可以运行域内的查询命令。
获取域SID
1 | whoami /all |
当前域test的SID为S-1-5-21-172314476-3001021905-2129267535。域用户testuser的SID为S-1-5-21-172314476-3001021905-2129267535-1105.
查询指定用户的详细信息
1 | net user testuser /domain |
当前testuser用户在本地组中没有本地管理员权限,在域中属于Domain Users组
判断是否存在域
获取到相关主机信息后,就要判断当前内网中是否存在域。如果当前内网中存在域,就需要判断所控机器是否在域环境中
使用ipconfig命令
执行ipconfig可以查看网关IP地址、DNS的IP地址、域名、本机是否和DNS服务器处于同一个网段的信息
1 | ipconfig /all |
通过反向解析查询命令nslookup来解析域名的IP地址。用解析得到的IP地址进行对比,判断域控制器和DNS服务器是否在同一台服务器上。
1 | nslookup test.domain |
发现域控制器和DNS服务器在同一台服务器上。
查看系统详细信息
1 | systeminfo |
- 域:既是域名(当前域名为test.domain)
- 登录服务器:为域控制器。如果“域”为“WORKGROUP”,表示当前服务器不在域内。
查询登录域及登录用户信息
1 | net config workstation |
- 工作站域DNS名称:为域名(如果为“WORKGROUP”,表示当前为非域环境)
- 登录域:用于表示当前登录的用户是域用户还是本地用户,此处表示当前登录的用户是域用户。
判断主域
1 | net time /domain |
存在三种情况:
- 存在域,但当前用户不是域用户
- 存在域,且当前用户是域用户
- 当前网络环境为工作组,不存在域
探测域内存活主机
利用NetBIOS探测内网
NetBIOS是局域网程序使用的一种应用程序编程接口(API),为程序提供了请求低级服务的统一的命令集,为局域网提供了网络及其他的特殊功能。几乎所有局域网都是在NetBIOS协议的基础上工作的。NetBIOS也是计算机的标识名,主要用于局域网中计算机的相互访问。NetBIOS的工作流程就是正常机器名解析查询应答过程,因此推荐优先使用。
nbtscan是一个命令行工具,用于扫描本地或者远程TCP/IP网络上的开放的NetBIOS名称服务器。nbtscan有windows和linux两个版本,体积小不需要额外的库或dll文件。
1 | nbtscan.exe 192.168.1.0/20 |
参数说明
| Token | 含义 |
|---|---|
| SHARING | 该机器中存在正在运行的文件和打印机共享服务,但不一定有内容共享 |
| DC | 该机器可能是域控制器 |
| U=USER | 该机器中有登录名为User的用户(不准确) |
| HS | 该机器中可能安装了IIS服务器 |
| EXCHANGE | 该机其中可能安装了Exchange |
| NOTES | 该机器中可能安装了Lotus Notes电子邮件客户端 |
| ? | 没有识别出该机的NetBIOS资源(可以使用 -F 选项再次扫描) |