内网域环境、工作组、局域网等探针方案

1. 信息收集

1.1 网络收集

了解当前服务器的计算机基本信息，为后续判断服务器角色，网络环境做准备

• systeminfo 详细信息

• net start 启动服务

• tasklist 进程列表

• schtasks 计划任务（受权限影响）
  了解当前服务器的网络接口信息，为判断当前角色，功能，网络架构做准备

• ipconfig /all 判断存在域-DNS（如果有域的话则dns后缀中有域名，因为在域环境中通常有dns解析服务器）
  

• net view /domain 判断存在域名
  

• net time /domain 判断主域（域成员会从域控上获取时间）
  

• netstat -ano 当前网络端口开放
  

• nslookup 域名 追踪来源的地址
  

1.2 用户信息收集

旨在了解当前计算机或域环境下的用户及用户组信息，便于后期利用凭据进行测试系统
默认常见用户身份:

• Domain Admins：域管理员（默认对域控制器有完全控制权）
• Domain Computers：域内机器
• Domain Controllers：域控制器
• Domain Guest：域访客，权限低
• Domain Users：域用户
• Enterprise Admins：企业系统管理员用户（默认对域控制器有完全控制权）
  

1.2.1 相关用户收集操作命令

• whoami /all 用户权限
• net view 显示域列表、计算机列表或指定计算机的共享资源列表
• net config workstation 显示和更改可配置的工作站服务参数
• net user 本地用户
• net localgroup 本地用户组
• net user /domain 获取域用户信息
• net group /domain 获取域用户组信息
• wmic useraccount get /all 涉及与用户详细信息
• net group “Domain in Admins” /all 查询域管理员账户
• net group “Enterprise Admins” /all 查询管理员用户组
• net group “Domain Controllers” /all 查询域控制器

1.3 重要信息收集–凭据信息收集

旨在收集各种密文，明文，口令等，为后续横向渗透做好测试准备
计算机用户HASH(操作系统上的账号密码信息)，明文获取-mimikatz(win),minipenguin(linux)
计算机各种协议服务口令获取-LaZagne(all),XenArmor(win)

• 相关下载地址：
  http://unixwiz.net/tools/nbtscan.html
  https://github.com/samratashok/nishang
  https://github.com/AlessandroZ/LaZagne
  https://github.com/gentilkiwi/mimikatz/releases
  https://github.com/huntergregal/mimipenguin/releases/
  https://nagareshwar.securityxploded.com/download-softwares/
  https://xenarmor.com/allinone-password-recovery-pro-softwarel
  https://pan.baidu.com/s/14eVDglqba1aRXi9BGcBbug 提取码:taqu

网上粘贴

ipconfig /all                ------ 查询本机IP段，所在域等

net user                     ------ 本机用户列表

net localgroup administrators       ------ 本机管理员[通常含有域用户]

net user /domain                        ------ 查询域用户

net group /domain                      ------ 查询域里面的工作组

net group “domain admins” /domain       ------ 查询域管理员用户组

net localgroup administrators /domain    ------ 登录本机的域管理员

net localgroup administrators workgroup\user001 /add   ------域用户添加到本机

net group “domain controllers” /domain                         ------ 查看域控制器(如果有多台)

net time /domain          ------ 判断主域，主域服务器都做时间服务器

net config workstation   ------ 当前登录域

net session                  ------ 查看当前会话

net use \ip\ipc$ pawword /user:username      ------ 建立IPC会话[空连接-***]

net share                    ------  查看SMB指向的路径[即共享]

net view                      ------ 查询同一域内机器列表

net view \ip                ------ 查询某IP共享

net view /domain         ------ 查询域列表

net view /domain:domainname        ------ 查看workgroup域中计算机列表

net start                                         ------ 查看当前运行的服务

net accounts                                   ------  查看本地密码策略

net accounts /domain                      ------  查看域密码策略

nbtstat –A ip                                   ------netbios 查询

netstat –an/ano/anb                        ------ 网络连接查询

route print                                      ------ 路由表

=============================================================

dsquery computer       ----- finds computers in the directory.

dsquery contact           ----- finds contacts in thedirectory.

dsquery subnet            ----- finds subnets in thedirectory.

dsquery group             ----- finds groups in thedirectory.

dsquery ou                   ----- finds organizationalunits in the directory.

dsquery site                 ----- finds sites in thedirectory.

dsquery server             ----- finds domain controllers inthe directory.

dsquery user                ----- finds users in thedirectory.

dsquery quota              ----- finds quota specificationsin the directory.

dsquery partition         ----- finds partitions in thedirectory.

dsquery *                     ----- finds any object inthe directory by using a generic LDAP query.

dsquery server –domain Yahoo.com | dsget server–dnsname –site —搜索域内域控制器的DNS主机名和站点名

dsquery computer domainroot –name *-xp –limit 10----- 搜索域内以-xp结尾的机器10台

dsquery user domainroot –name admin* -limit ---- 搜索域内以admin开头的用户10个

[注:dsquery来源于Windows Server 2003 Administration Tools Pack]

=============================================================

tasklist /V                                                      ----- 查看进程[显示对应用户]

tasklist /S ip /U domain\username /P /V             ----- 查看远程计算机进程列表

qprocess *                                                    ----- 类似tasklist

qprocess /SERVER:IP                                      ----- 远程查看计算机进程列表

nslookup –qt-MX Yahoo.com                           ----- 查看邮件服务器

whoami /all                                                   ----- 查询当前用户权限等

set                                                              ----- 查看系统环境变量

systeminfo                                                    ----- 查看系统信息

qwinsta                                                        ----- 查看登录情况

qwinsta /SERVER:IP                                       ----- 查看远程登录情况

fsutil fsinfo drives                                           ----- 查看所有盘符

gpupdate /force                                            ----- 更新域策略

=============================================================

wmic bios                                                     ----- 查看bios信息

wmic qfe                                                      ----- 查看补丁信息

wmic qfe get hotfixid                                     ----- 查看补丁-Patch号

wmic startup                                                 ----- 查看启动项

wmic service                                                 ----- 查看服务

wmic os                                                       ----- 查看OS信息

wmic process get caption,executablepath,commandline

wmic process call create “process_name” (executes a program)

wmic process where name=”process_name” call terminate (terminates program)

wmic logicaldisk where drivetype=3 get name, freespace, systemname, filesystem, size,

volumeserialnumber (hard drive information)

wmic useraccount (usernames, sid, and various security related goodies)

wmic useraccount get /ALL

wmic share get /ALL (you can use ? for gets help ! )

wmic startup list full (this can be a huge list!!!)

wmic /node:“hostname” bios get serialnumber (this can be great for finding warranty info about target)