在内网渗透中,当我们获得一个未加入域的内网主机权限时,无法直接获取域中的相关信息。我们可以通过钓鱼、欺骗、信息收集、密码猜解等方式获取一个域中普通用户的权限。下面详细介绍如何通过暴力枚举域中的用户名来进行域渗透。
在对域中信息一无所知的情况下,我们可以通过字典方式枚举域中的账户名称。用户名枚举需要根据以下错误信息来辨别用户名是否正确:
推荐几个工具来完成这个工作:
krbguess 下载地址:
枚举命令如下:
Nmap krb5-enum-users NSE Script 使用方法:
Metasploit 的模块:模块信息如下:
使用这个模块需要提供三个参数:
- 域名(Domain)
- 域控 IP(RHOST)
- 用户字典(USER_LIST)
输入
run运行之后的结果如图:
运行完成后会将结果保存在 Metasploit 的数据库中,输入命令
creds即可查看存在的用户。
枚举用户凭证可以使用 Metasploit 的
auxiliary/scanner/smb/smb_login来枚举用户的密码凭证,使用帮助如下:
获取域中用户信息后,我们可能已经获得了一个或若干域用户凭证,不需要再通过暴力枚举来获取用户信息,而是可以使用域中用户的身份去域数据库中搜索我们想要的数据。
我们的几个目标如下:
- 获取用户账户
- 获取用户权限信息(例如 domain admin 组或者远程桌面管理组)
- 枚举域密码策略
- 获取进一步的攻击途径
下面介绍几个可以满足上述需求的工具。
windapsearch 工具下载地址:
这个工具是用 Python 写的,可以通过域控的 LDAP 服务查询用户、组和计算机信息,使用命令如下:
-U参数的意思是获取域中的所有用户,例如:
我们可以使用
grep和
cut清理一些信息,结果如下:
使用
-da参数可以获取
domain admins组中的成员:
使用
-m参数可以获取远程桌面组的成员:
PowerView 这个工具大家都不陌生,使用的人挺多,作者博客:
我们需要在未加入域的主机上使用
runas和
/netonly建立一个由域用户启动的 PowerShell 会话:
我们需要在弹出的框中输入密码:
现在我们已经安装好了 PowerSploit,路径如下:
我们导入 PowerSploit 模块:
我们使用下面的命令导出域用户:
使用下面的命令导出
domain admins组成员:
使用下面的命令导出远程桌面管理组的成员:
我们还可以使用当前用户的身份查询他可以访问的共享列表:
RSAT(微软远程服务管理工具) Microsoft RSAT 的目的是让管理员可以通过远程来管理 Windows 服务器,这个工具的使用与上面的类似,首先创建一个域中普通用户权限的 PowerShell 会话,然后执行下面的命令获取域密码策略:
我们也可以使用 RAST 的界面程序,使用
runas启动:
下面我们用这种方式来增加主机或用户到域中:
将域控制器实例改为我们的目标:
我们下面看看在域中的用户信息:
参考链接
