从暴力枚举用户到获取域所有信息

在内网渗透中，当我们获得一个未加入域的内网主机权限时，无法直接获取域中的相关信息。我们可以通过钓鱼、欺骗、信息收集、密码猜解等方式获取一个域中普通用户的权限。下面详细介绍如何通过暴力枚举域中的用户名来进行域渗透。

在对域中信息一无所知的情况下，我们可以通过字典方式枚举域中的账户名称。用户名枚举需要根据以下错误信息来辨别用户名是否正确：

推荐几个工具来完成这个工作：

krbguess 下载地址：

枚举命令如下：

Nmap krb5-enum-users NSE Script 使用方法：

Metasploit 的模块：模块信息如下：

使用这个模块需要提供三个参数：

1. 域名（Domain）
2. 域控 IP（RHOST）
3. 用户字典（USER_LIST）

输入

run

运行完成后会将结果保存在 Metasploit 的数据库中，输入命令

creds

枚举用户凭证可以使用 Metasploit 的

auxiliary/scanner/smb/smb_login

获取域中用户信息后，我们可能已经获得了一个或若干域用户凭证，不需要再通过暴力枚举来获取用户信息，而是可以使用域中用户的身份去域数据库中搜索我们想要的数据。

我们的几个目标如下：

1. 获取用户账户
2. 获取用户权限信息（例如 domain admin 组或者远程桌面管理组）
3. 枚举域密码策略
4. 获取进一步的攻击途径

下面介绍几个可以满足上述需求的工具。

windapsearch 工具下载地址：

这个工具是用 Python 写的，可以通过域控的 LDAP 服务查询用户、组和计算机信息，使用命令如下：

-U

我们可以使用

grep

cut

使用

-da

domain admins

微信 WeLM

WeLM不是一个直接的对话机器人，而是一个补全用户输入信息的生成模型。

33

查看详情

使用

-m

PowerView 这个工具大家都不陌生，使用的人挺多，作者博客：

我们需要在未加入域的主机上使用

runas

/netonly

我们需要在弹出的框中输入密码：

现在我们已经安装好了 PowerSploit，路径如下：

我们导入 PowerSploit 模块：

我们使用下面的命令导出域用户：

使用下面的命令导出

domain admins

使用下面的命令导出远程桌面管理组的成员：

我们还可以使用当前用户的身份查询他可以访问的共享列表：

RSAT（微软远程服务管理工具） Microsoft RSAT 的目的是让管理员可以通过远程来管理 Windows 服务器，这个工具的使用与上面的类似，首先创建一个域中普通用户权限的 PowerShell 会话，然后执行下面的命令获取域密码策略：

我们也可以使用 RAST 的界面程序，使用

runas

下面我们用这种方式来增加主机或用户到域中：

将域控制器实例改为我们的目标：

我们下面看看在域中的用户信息：

参考链接

以上就是从暴力枚举用户到获取域所有信息的详细内容，更多请关注php中文网其它相关文章！