> 本文由 [简悦 SimpRead](http://ksria.com/simpread/) 转码， 原文地址 [mp.weixin.qq.com](https://mp.weixin.qq.com/s/wxePI-HVjMBXVdSKgqTxpg)

https://www.secshi.com

学安全，上 secshi。安全师，可信赖的网络安全学习平台，以让每个白帽子高效获得可信赖的优质内容为使命。安全师汇聚网络安全技术、黑客技术、web 安全攻防、代码审计、渗透测试、漏洞挖掘、白帽子教程, 沉淀知识, 分享经验！吸引、聚集了 IT 界中大量的领域专家，将高质量的内容透过人的节点来成规模地生产和分享。用户通过分享等交流方式建立信任和连接，打造和提升个人影响力，并发现、获得新机会。

进入到内网后，首先要对自己当前所处的网络环境有一个清楚地判断，收集到有关当前环境足够多的信息，为接下来的渗透做好准备

PS：文中提到的 PowerSploit

本机信息
----

包括操作系统，当前用户权限，内网 ip 段，杀毒软件，端口开放情况，系统打的补丁，网络状况，共享文件夹等，如果是域内的主机的话，操作系统、补丁、运行的服务、杀软等一般是域管批量用脚本安装的。

### 本机网络配置

*   `ipconfig /all`：  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvbCY6Gz1l4sibuYhjcqiaic4VtODMQicfyM1boIwWyAVSiawKYibSrZjPSGuIA/640?wx_fmt=png)  
    ### 操作系统
    
*   查询操作系统及版本信息，补丁信息等等：`systeminfo`  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvbZYLd1ICgxXQVN3kETD87ibuWP8k1Fq7UialCLrvuw6hUEEOUm1rFVpFQ/640?wx_fmt=png)
    
*   查询系统体系架构：`echo %PROCESSOR_ARCHITECTURE%`  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvbWhFJlibQMlAFbzMtqDyKlsuP7YpradqxNWUNVgsZWLmdaHnp9kP36tw/640?wx_fmt=png)
    
*   查询已安装的软件及版本信息：`wmic product get name,version`  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvbt7ia8xtibDm3KLshkdLBC8eCccUicz1vvRlFRTZBic5gaG8rwAbbYhib6dw/640?wx_fmt=png)  
    PS：在 win10 中，输入`wmic /?`会提示 wmic 已弃用，但在 server2012R2，win7 等版本中可以正常使用
    

*   powershell 中可替代该命令的是`Get-WmiObject`:  
    `Get-WmiObject -class win32_product | Select-Object -property name,version`  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvb1bLB64nuBY72K1dqcGGREFAVMaOtA4fyyVGr6UDFIy3rVOLbTb4AcQ/640?wx_fmt=png)
    

*   查询本机服务：`wmic service list brief`  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvbuvsurm7ibPCZ2PyYsBpElBHLD10ozHibdaibErYdG8nibMrJcQIaNibEUGQ/640?wx_fmt=png)
    
*   查询进程：`tasklist`，或者：`wmic process list brief`  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvbsAHCWwwp9Uaf5OrbrIpRQlojNUIkiaRrFwPsvPgdzp8jCx2XiaYm8ggg/640?wx_fmt=png)  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvbx7mC32a7Fr6NEGLekbzBf7MohsvBXHib43gCoW1AZqe33mRxicEOkOrA/640?wx_fmt=png)
    
    常见的杀软进程：
    

<table width="770"><thead><tr><th>进程名</th><th>软件</th></tr></thead><tbody><tr><td>360sd.exe</td><td>360 杀毒</td></tr><tr><td>360tray.exe</td><td>360 实时保护</td></tr><tr><td>ZhuDongFangYu.exe</td><td>360 主动防御</td></tr><tr><td>KSafeTray.exe</td><td>金山卫士</td></tr><tr><td>SafeDogUpdateCenter.exe</td><td>安全狗</td></tr><tr><td>McAfee McShield.exe</td><td>McAfee</td></tr><tr><td>egui.exe</td><td>NOD32</td></tr><tr><td>AVP.exe</td><td>卡巴斯基</td></tr><tr><td>avguard.exe</td><td>小红伞</td></tr><tr><td>bdagent.exe</td><td>BitDefender</td></tr></tbody></table>

*   查看已启动的程序信息：`wmic startup get command,caption`  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvboAyH2BuqcibBPH0xIWq06mlZfrudIiaGEjKLBaQnv1oG9oIsKu2JjgYg/640?wx_fmt=png)
    
*   查看计划任务：`schtasks /query /fo LIST /v`  
    此处在我的靶机 Server2008R2 中出现了错误：无法加载列资源，这里把编码暂时设置为英文：`chcp 437`，之后再改回来：`chcp 936`即可  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvbyO7FJiaicdSGATlBdPgV3Qe1RgYCfmHYgckCN4pPyqqfiaPoKWfjHsLSQ/640?wx_fmt=png)
    
*   查看主机的开机时间：`net statistics workstation`  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvb4su14ibey9nwtPeZNLDFmpYKJ1b51b2QZoYviaYQ28SSRwicECnIm5qpg/640?wx_fmt=png)
    
*   查看用户列表：`net user`  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvbQSKsKOM3YFUCV990BB3bcgwk6zRXZyfIumGHoCmUInW5fphbOWEhfg/640?wx_fmt=png)
    
*   查看本地管理员信息：`net localgroup administrators`  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvb1u8BhibvPqZuSib46GrwgSW1ibgYEcymL2GE1Dt7xaxHDcGB8Qts1PVqQ/640?wx_fmt=png)
    
*   查看当前在线的用户：`query user || qwinsta`  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvbePnvQ0Ext0Dukbv6MbOs5OaRWJgzGq0p2Tv8gRxA4YPNlE4Spystiag/640?wx_fmt=png)
    
*   查看本地计算机与所连接客户端之间的会话：`net session`  
    对于该指令，一开始我的机器上报错："发生系统错误 5。拒绝访问"，找了一下解决办法，只要以管理员身份运行即可，此处靶机没有回话，所以显示为空  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvbpLE7bFbhuOicx45LNgicCpb6iaLZ7OoiaQIQKgSDfYibU0DqZHj6BZB4kaw/640?wx_fmt=png)
    
*   查看端口：`netstat -ano`  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvbna3Tl7j33yaicxcUHHCVTvOu7Yaac91tqrsWY6dKZHfQnVpcs71apcQ/640?wx_fmt=png)
    
*   查看补丁信息：  
    `systeminfo`,  
    `wmic qfe get caption,description,hotfixid,installedon`  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvbon6OsAaYPtyOQeRfp1srMfLgkFmOBLFaRicNnVj5ZCyPUy40nJtn0xQ/640?wx_fmt=png)
    
*   查看本机共享列表：`net share`，`wmic share get name,path,status`  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvbkJb4LCPdJic6L3Yhrv9m9PJyTVSbf9N4ibY6hkBvvlebSAIjTiayDibNHA/640?wx_fmt=png)  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvbVDKt7St2K8I3avCXNCxhO2IiaLVJxTMQ2xog1G0ktmLBJ9tUzh0lGqQ/640?wx_fmt=png)
    
*   查询路由表及所有可用的 ARP 缓存表：`route print`，`arp -a`  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvbOkFoQxwW7K5AnMOlU9npO3g65h22fbh4mGtdTdiaNU8yOpdDeebtL6Q/640?wx_fmt=png)  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvbocQtTlbCkfghyWsHYB2aen1MolYgoAcv4A6AFDmiaJu8QaP6f33XbIQ/640?wx_fmt=png)
    
*   查看防火墙相关：
    

*   winserver 2003 之前：`netsh firewall set opmode disable`
    
*   winserver 2003 之后：`netsh advfirewall set allprofiles state off`  
    一般来说不要操作防火墙的开关，风险极大，只需要查看配置即可
    
*   查看防火墙配置：`netsh firewall show config`  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvbbW1VDR2uu0K9oWFDhehD4qmgPa79Wxjn04oR3SAQhUFcl1gM5rlfow/640?wx_fmt=png)  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvbjOibCoajX1zF0mXb3zvGzZqQzmKy7n4iaKEKKrEicNa9sT0QFqgYGhg2g/640?wx_fmt=png)
    
*   关闭防火墙：
    

*   查看代理：  
    `reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"`  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvbgnAHqPlu2kDhjyZv3EoXZwMnvV8MBDkfxoEibpEWNaHAgDRG4JiaBHtQ/640?wx_fmt=png)
    
*   查询远程连接服务：  
    `reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlset\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber`  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvbz6iblMOGGac4E56Gp2Zvh2AF5Y2IdvOoMGbIMgoBTzMBbajY2UpfOjA/640?wx_fmt=png)  
    连接端口为 16 进制数 0xd3d，转换为 10 进制就是 3389
    

### 使用 empire 收集信息

在攻击机上安装 empire 后，使用`usemodule powershell/situational_awareness/host/winenum`即可收集相关信息，注意使用该模块需要拿到管理员权限

权限
--

*   查看当前权限：`whoami`  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvbwjzVOSoMAca2AZ79VBHdz9ZGJlqRQg262Y6J4oGyrR7rIicc1Dic2tmg/640?wx_fmt=png)
    
*   获取域 id：`whoami /all`  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvbXzJFBrrlFmrRPeOp4ufOPfXsg4cgSGpJXcQPZGeZm8H8luib2nhuHqQ/640?wx_fmt=png)
    
*   获取指定用户的详细信息：`net user xxx /domain`  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvbvYB60OZkbSOQm5PGPiclkh72cK77TsRGgib7OrymwDpVsHYicpociafRKg/640?wx_fmt=png)  
    ## 判断是否存在域
    
*   使用`ipconfig /all`即可做出判断  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvb3alDQIgdfrleIb86OdX7KG56sDLUW5FicIOYs1Unhy3n5dhjJO2pwLQ/640?wx_fmt=png)
    
*   此时发现域名后，利用 nslookup 命令直接解析域名的 ip，借此来判断 dns 服务器与域控是否在同一主机上`nslookup 域名`  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvb05mm2pFbAFWoCQJdASnibAvrMVib4kUjsKGWWSDt6NR9znmicrOMxeBVg/640?wx_fmt=png)
    
*   查询当前的登录域与用户信息：`net config workstation`  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvbwqFZWJnFGTSFXlBWmSZ3icJlpSaCiaUoNWw1icHXMRdP6oFiayIGsBpySg/640?wx_fmt=png)
    
*   判断主域：`net time /domain`  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvbIBDW104PcRGngnibk750ZicAPKgB9hnRKbtejs0pQBic2hS49Olic1Gzhg/640?wx_fmt=png)  
    若是此命令在显示域处显示 WORKGROUP，则不存在域，若是报错：发生系统错误 5，则存在域，但该用户不是域用户  
    ## 探测域内存活主机
    
*   利用 ICMP 进行探测：`for /L %I in (1,1,254) DO @ping -2 1 -n 1 192.168.52.%I | findstr "TTL="`  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvbHaFX3RrQAPCjGzrrkagyCMJwzjcJ4RNobPKISVK8pdnGJtR9dwicwkg/640?wx_fmt=png)  
    我在本地机器中做了小小的修改，让它只扫描 141 到 142 这段
    
*   利用 empire 中的 arpscan 模块：`usemodule situational_awareness/network/arpscan`，设置 Range(范围) 后即可扫描
    

扫描端口
----

*   使用 telnet 进行扫描：`telnet 主机名 22`
    
*   使用 metasploit 进行扫描：`需要用到的是auxiliar/scanner/portscan/ack、ftpbounce、syn、tcp、xmas`等模块
    
*   PowerSploit 中的 Invoke-Portscan.ps1 脚本，位于 Recon 目录下
    
*   使用 Nishang 的 PortScan 模块，位于 scan 目录下，上传到主机上执行
    

#### 获取 Banner

扫描到端口后就要获取到其 Banner 信息，接着就可以在漏洞库里查找 poc，这个可以找一下常见的端口的服务来得知

<table width="770"><thead><tr><th>端口号</th><th>端口说明</th><th>攻击技巧</th></tr></thead><tbody><tr><td>21/22/69</td><td>ftp/tftp：文件传输协议</td><td>允许匿名上传、下载、爆破、嗅探、溢出和后门</td></tr><tr><td>22</td><td>ssh：远程连接</td><td>爆破 OpenSSH；28 个退格</td></tr><tr><td>23</td><td>telnet：远程连接</td><td>爆破 \ 嗅探、弱口令</td></tr><tr><td>25</td><td>smtp：邮件服务</td><td>邮件伪造</td></tr><tr><td>53</td><td>DNS：域名系统</td><td>DNS 区域传输 \ DNS 劫持 \ DNS 缓存投毒 \ DNS 欺骗 \ 利用 DNS 隧道技术刺透防火墙</td></tr><tr><td>67/68</td><td>dhcp</td><td>劫持 \ 欺骗</td></tr><tr><td>80/443/8080</td><td>常见 web 服务端口</td><td>web 攻击、爆破、对应服务器版本漏洞</td></tr><tr><td>110</td><td>pop3</td><td>爆破、嗅探</td></tr><tr><td>139</td><td>samba</td><td>爆破 \ 未授权访问 \ 远程代码执行</td></tr><tr><td>143</td><td>imap</td><td>爆破</td></tr><tr><td>161</td><td>snmp</td><td>爆破</td></tr><tr><td>389</td><td>ldap 目录访问协议</td><td>注入攻击 \ 未授权访问，弱口令</td></tr><tr><td>512/513/514</td><td>linux rexec</td><td>直接使用 rlogin \ 爆破</td></tr><tr><td>873</td><td>rsync</td><td>未授权访问 \ 文件上传</td></tr><tr><td>1080</td><td>socket</td><td>爆破：进行内网渗透</td></tr><tr><td>1352</td><td>lotus Domino 邮件服务</td><td>爆破：弱口令 \ 信息泄漏：源代码</td></tr><tr><td>1433</td><td>mssql</td><td>爆破：使用系统用户登录 \ 注入攻击 \ SA 弱口令</td></tr><tr><td>1521</td><td>oracle</td><td>爆破：TNS \ 注入攻击 \ 反弹 shell</td></tr><tr><td>2049</td><td>nfs</td><td>配置不当</td></tr><tr><td>2181</td><td>zookeeper</td><td>未授权访问</td></tr><tr><td>3306</td><td>mysql</td><td>爆破 \ 拒绝服务 \ 注入 \ 提权</td></tr><tr><td>3389</td><td>rdp</td><td>爆破 \ Shift 后门</td></tr><tr><td>3690</td><td>SVN 服务</td><td>SVN 泄露 \ 未授权访问</td></tr><tr><td>4848</td><td>glassfish</td><td>爆破：控制台弱口令 \ 认证绕过</td></tr><tr><td>5000</td><td>sybase/DB2</td><td>爆破 \ 注入</td></tr><tr><td>5432</td><td>postgresql</td><td>缓冲区溢出 \ 注入攻击 \ 爆破：弱口令</td></tr><tr><td>5632</td><td>pcanywhere</td><td>拒绝服务 \ 代码执行，抓取密码</td></tr><tr><td>5900</td><td>vnc</td><td>爆破：弱口令 \ 认证绕过</td></tr><tr><td>6379</td><td>redis</td><td>未授权访问 \ 爆破：弱口令</td></tr><tr><td>7001/7002</td><td>weblogic</td><td>Java 反序列化 \ 控制台弱口令 \ 控制台部署 webshell</td></tr><tr><td>8069</td><td>zabbix</td><td>远程命令执行 \ SQL 注入</td></tr><tr><td>8080/8089</td><td>JBoss/Resin/Jetty/Jenkins</td><td>反序列化、控制台弱口令</td></tr><tr><td>9090</td><td>websphere 控制台</td><td>爆破：控制台弱口令 \ Java 反序列</td></tr><tr><td>9200/9300</td><td>elasticsearch</td><td>远程代码执行</td></tr><tr><td>10000</td><td>webmin 控制面板</td><td>弱口令</td></tr><tr><td>11211</td><td>memcacache</td><td>未授权访问</td></tr><tr><td>27017/27018</td><td>mongodb</td><td>爆破 \ 未授权访问</td></tr><tr><td>50000</td><td>SAP Management Console</td><td>远程执行</td></tr></tbody></table>

获取域内的基础信息
---------

*   查询域：`net view /domain`  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvbnibNEicP1XUmicknA1yo7IYlDJl7WNEX91YiaXTwz9tialxKgg52IO3AWpw/640?wx_fmt=png)
    
*   查询域内所有计算机：`net view /domain:域名`  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvbkNnyANMjoib2BL5nTIW8VZPKF2DH7gNPgibGnoXuzlNnmvtoEbhhSXRA/640?wx_fmt=png)
    
*   查询域内所有用户组：`net group /domain`  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvb7x5rCrWHPhUTQZOmdSIZdX9SuJhnsk2JoiaibFLqlyWCgsUR47p5ibtqQ/640?wx_fmt=png)
    
*   查看所有域成员计算机列表：`net group "domain computers" /domain`  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvbViaGl5hncGRGNMWWxzNxO67x1ib8uKqar0o16TLp12lEOPicXXYchZiaDw/640?wx_fmt=png)
    
*   获取域密码信息：`net accounts /domain`  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvbViaGBX343vFhYWJ7pVqJLDtNwQ2dQLdZfSC0SvycJaEhOiaysC0fM2wA/640?wx_fmt=png)
    
*   获取域信任信息：`nltest /domain_trusts`  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvbEB4D0gTQusDlk31z84ogUNdf6ia7D8KDia4hOGHkzosQxDQRic6CYzibkg/640?wx_fmt=png)  
    ## 寻找域控
    
*   查看域控机器名：`nltest /DCLIST:域名`  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvb0MTd62Wjq9rib4o9dOU2SicEd4Wnw8xTDXLNNyAPPuZMEBVgRQI17qyg/640?wx_fmt=png)
    
*   查看域控主机名：`nslookup -type=SRV \_ladp._tcp`
    
*   查看域控制器组：`net group "Domain Controllers" /domain`，`netdom query pdc`  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvb5SXUiale6CTNic8pDYlEQNcrgLicefM0qf9gDWJtgnZPRpYTTmWuUaWRw/640?wx_fmt=png)  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvbo0PaVYPqxlgJI5ribkmmYIx93vD2FPKSsOK6ibMmvGGLrI8ee4bXPicVw/640?wx_fmt=png)  
    在大型企业中，域控制器组中的用户会不止一个，这是为了保证主域控故障时可以切换到备用域控制器  
    ## 获取域内用户和管理员信息
    
*   查询所有域用户列表：`net user /domain`  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvbibBml6237uROY1RzRSzGeH3ddDKsdTPT0vsF0q0CHMY4Km7yL4rQj8g/640?wx_fmt=png)
    
*   获取域内用户的详细信息：`wmic useraccount get /all`，可以获取到用户名，描述信息，SID 域名等  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvb8KoibJb8RIeEHFKNBLr520ffR0JbvxsTWr5t5dpmPbHZEeGvib1FTibog/640?wx_fmt=png)
    
*   查看存在的用户：`dsquery user`  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvbAI9Fnn8iaWNlN5vyxOV5UzuAD1rLamC6q5rp1FrLQZWNjibY1ghL4cQA/640?wx_fmt=png)
    
*   查询本地管理员组用户：`net localgroup administrators`  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvbicSKxobbagTI8zpUz0HNyicEmVF2z0bHPBA2qsjLkDwQuzVt8xEKn1zw/640?wx_fmt=png)
    
*   查询域管理员用户组：`net group "domain admins" /domain`  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvbnYJwhVOqv4J3kFLBvJVOcO9BUl9aEZzbVHzY6gpQvw6Ribfr7FY8mTQ/640?wx_fmt=png)
    
*   查询管理员用户组：`net group "Enterprise Admins" /domain`  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvbq2ECMUt39VS6dhWicezn70Pd71AfBfgso6kIwXaC3CiaeA5jJzeTkG3A/640?wx_fmt=png)  
    ## 定位域管理员  
    常规渠道有二个，日志与会话，日志是本地机器的管理员日志，可以用脚本或者内置应用 wevtutil 导出来看  
    ### 工具  
    psloggedon.exe，netview.exe，PVEFindADUser.exe，powersploit 的 PowerView 脚本，Empire 的 user_hunter 模块等
    

查找域管理进程
-------

### 本机检查

*   `net group "Domain Admins" /domain`
    
*   列出本机的所有进程及进程用户：`tasklist /v`  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvbYIia4S3jmG8SX3IrPEWJ29jWL86uSxzXm1sm5lOrje791Cia4PVApLug/640?wx_fmt=png)  
    在以上进程中尽量查找域管理员进程或是与其相关的进程  
    ### 查询域控的域用户会话
    
*   查询域控制器列表：`net group "Domain Controllers" /domain`
    
*   收集域管理员列表：`net group "Domain admins" /domain`
    
*   收集所有活动域的会话列表：`NetSess -h`，使用的是 NetSess.exe  
    ![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkqISQx2NS3H5eqzqCofZNvbJQoKwxBZJa2NGhmpUPD2XCkzPNGKCmaYEicH2Rm1WEic5mygreG3icj2w/640?wx_fmt=png)  
    目前还没有任何会话，所以显示无  
    ## 利用 powershell 收集域信息
    

首先要将 powershell 的权限限制更改为 **RemoteSigned**，这样就可以执行本地上的脚本

输入：`Get-ExecutionPolicy`，发现自己并不是 RemoteSigned 权限，输入：`Set-ExecutionPolicy RemoteSigned`，按 Y 确定即可，在本地虚拟机测试时还可以将脚本权限改为 **Unrestricter**，这样可以执行来自网络与本地的任何脚本

此处要使用的脚本在 PowerSploit/Recon 中，将要用到的 PowerView.ps1 传入靶机，在 powershell 中打开该脚本目录并导入：`Import-Module .\PowerView.ps1`就可以进行收集了

具体命令的相关用法在`PowerSploit/Recon/READE.md`中

小结
--

针对内网渗透这方面自己是边学习内网安全攻防这本书边整理的，由于是初学者且没有在真实环境实战过，文内有错误还请师傅们提出，水平一般还望见谅

本文来自先知社区

![](https://mmbiz.qpic.cn/mmbiz_png/fQ4PtepQmkrY3S6FKNBia3twAdhCz1P5iaqsKMc4AVRibFWDS1lYFdHt7SULsljEluUHOhBDsOu7DO9TicCX4meuBQ/640?wx_fmt=png)