在内网渗透中,当我们获得一个未加入域的内网主机权限时,无法直接获取域中的相关信息。我们可以通过钓鱼、欺骗、信息收集、密码猜解等方式获取一个域中普通用户的权限。下面详细介绍如何通过暴力枚举域中的用户名来进行域渗透。
在对域中信息一无所知的情况下,我们可以通过字典方式枚举域中的账户名称。用户名枚举需要根据以下错误信息来辨别用户名是否正确:
推荐几个工具来完成这个工作:
krbguess 下载地址:
枚举命令如下:
Nmap krb5-enum-users NSE Script 使用方法:
Metasploit 的模块:模块信息如下:
使用这个模块需要提供三个参数:
域名(Domain)域控 IP(RHOST)用户字典(USER_LIST)
输入
run
运行之后的结果如图:
运行完成后会将结果保存在 Metasploit 的数据库中,输入命令
creds
即可查看存在的用户。
枚举用户凭证可以使用 Metasploit 的
auxiliary/scanner/smb/smb_login
来枚举用户的密码凭证,使用帮助如下:
获取域中用户信息后,我们可能已经获得了一个或若干域用户凭证,不需要再通过暴力枚举来获取用户信息,而是可以使用域中用户的身份去域数据库中搜索我们想要的数据。
我们的几个目标如下:
获取用户账户获取用户权限信息(例如 domain admin 组或者远程桌面管理组)枚举域密码策略获取进一步的攻击途径
下面介绍几个可以满足上述需求的工具。
windapsearch 工具下载地址:
这个工具是用 Python 写的,可以通过域控的 LDAP 服务查询用户、组和计算机信息,使用命令如下:
-U
参数的意思是获取域中的所有用户,例如:
我们可以使用
grep
和
cut
清理一些信息,结果如下:
使用
-da
参数可以获取
domain admins
组中的成员:
Imagine By Magic Studio
AI图片生成器,用文字制作图片
79 查看详情
使用
-m
参数可以获取远程桌面组的成员:
PowerView 这个工具大家都不陌生,使用的人挺多,作者博客:
我们需要在未加入域的主机上使用
runas
和
/netonly
建立一个由域用户启动的 PowerShell 会话:
我们需要在弹出的框中输入密码:
现在我们已经安装好了 PowerSploit,路径如下:
我们导入 PowerSploit 模块:
我们使用下面的命令导出域用户:
使用下面的命令导出
domain admins
组成员:
使用下面的命令导出远程桌面管理组的成员:
我们还可以使用当前用户的身份查询他可以访问的共享列表:
RSAT(微软远程服务管理工具) Microsoft RSAT 的目的是让管理员可以通过远程来管理 Windows 服务器,这个工具的使用与上面的类似,首先创建一个域中普通用户权限的 PowerShell 会话,然后执行下面的命令获取域密码策略:
我们也可以使用 RAST 的界面程序,使用
runas
启动:
下面我们用这种方式来增加主机或用户到域中:
将域控制器实例改为我们的目标:
我们下面看看在域中的用户信息:
参考链接
以上就是从暴力枚举用户到获取域所有信息的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/775234.html
微信扫一扫 
支付宝扫一扫 
