内网渗透中的域管与域控快速定位

在内网渗透的过程中，对内网域管与域控定位的快速定位重要性不言而喻，下面介绍几种常用的方式。

#对域管的定位：

cmd命令定位

net group "Domain Admins" /domain            //查询域管理员

工具定位：

第一款：PSloggedon.exe
参数 描述

• 显示支持的选项和用于输出值的度量单位
  -l 仅显示本地登录，而不显示本地和网络资源登录
  -x 不显示登录时间
  \computername 指定要为其列出登录信息的计算机的名称
  username 指定用户名，在网络中搜索该用户登陆的计算机

下载地址：https://docs.microsoft.com/en-us/sysinternals/downloads/psloggedon

他是通过检验注册表里HKEY_USERS的key值来查询谁登陆过机器，并且调用了NetSessionEnum API。

PS：该工具有些功能需要管理员权限。

PsLoggedon.exe Administrator 指定用户

如图，枚举出了Administrator用户在那些机器登陆过

PsLoggedon.exe \AD-server 指定机器名

如图，枚举出了正在AD-server这台机器上登录的用户

第二款：PVefindaduser.exe

他是用于查找Active Directory用户的登录位置、枚举域用户，以及查找在 特定计算机上登陆的用户，包括本地用户、通过RDP登陆的用户、用于运行服务和计划任务的用户。

PS:这个需要管理员权限
参数 描述
-h 显示帮助信息
-u 检测程序是否有新版本
-current [“username”] -current参数显示每台PC上当前登录的用户在域中。如果指定用户名（在引号之间），则仅将显示该特定用户登录的PC
-noping 阻止尝试枚举用户登录名之前对目标计算机执行ping命令
-target 此可选参数允许您指定要查询的主机。如果未指定此-target参数，则将查询当前域中的所有主机。如果决定指定-target，然后指定以逗号分隔的主机名。查询结果将被输出到report.csv文件中

下载地址：https://github.com/chrisdee/Tools/tree/master/AD/ADFindUsersLoggedOn

直接运行pvefinaduser.exe -current命令，即可显示域中所有计算机上当前登陆的所有用户

该命令执行后会在目标机器留下一个report.csv文件，可拷回查看

第三款：powerView.ps1

集成在powersploit工具包中，是一个收集域信息很好用的脚本。

// 更多PowerView命令参数
Get-NetDomain: 获取当前用户所在域的名称
Get-NetUser: 获取所有用户的详细信息
Get-NetDomainController: 获取所有域控制器的信息
Get-NetComputer: 获取域内所有机器的详细信息
Get-NetOU: 获取域中的OU信息
Get-NetGroup: 获取所有域内组和组成员信息
Get-NetFileServer: 根据SPN获取当前域使用的文件服务器信息
Get-NetShare: 获取当前域内所有网络共享信息
Get-NetSession: 获取指定服务器的会话
Get-NetRDPSession: 获取指定服务器的远程连接
Get-NetProcess: 获取远程主机的进程
Get-UserEvent: 获取指定用户的日志
Get-ADObiect: 获取活动目录的对象
Get-NetGPO: 获取域内所有的组策略对象
Get-DomainPolicy: 获取域默认策略或域控制器策略
Invoke-UserHunter: 获取域用户登录的计算机信息及该用户是否有本地管理员权限
Invoke-ProcessHunter: 通过查询域内所有的机器进程找到特定用户
Invoke-UserEvenHunter: 根据用户日志查询某域用户登录过哪些域机器。

下载地址：https://github.com/PowerShellEmpire/PowerTools/tree/master/PowerView

定位域管：

powershell.exe -exec bypass -Command “& {Import-Module C:\Users\win7\Desktop\tool\PowerView.ps1; Invoke-UserEvenHunter}”

#对域控的定位：

cmd命令定位

net group "Domain controllers" /Domain        //查看域控制器

还可以net time /do方式来定位域控，该条命令是显示域控制器时间

dns解析记录查询定位域控：

nslookup -type=all _ldap._tcp.dc._msdcs.tubai.com

若当前主机的dns为域内dns，可通过查询dns解析记录定位域控。

通过端口探测方式定位域控：

扫描内网中同时开放389，636与53的机器，389默认是LDAP协议端口，636端口是LDAPS，53端口默认是DNS端口，主要用于域名解析，通过DNS服务器可以实现域名与ip地址之间转换，他们都是域控机器开放的端口。

我们直接对域控机器ip进行指定端口探测：

SPN扫描定位：

由于SPN本身就是正常的kerberos请求，所以扫描隐蔽，它不同于TCP与UDP常规端口扫描。大部分windows已经自带setspn.exe，且此操作无需管理权限。

在域内机器执行：setspn -T tubai.com -Q /

在扫描出的结果中就可以根据

CN=AD-SERVER,OU=Domain Controllers,DC=tubai,DC=com来进行域控的定位。此时已经查询出域控机器。

总结：

域控与域管定位方式很多，这里只介绍了最常用的几种，在日常内网渗透中，还是要追求动静越小越好。

参考：

https://uknowsec.cn/posts/notes/%E5%9F%9F%E6%B8%97%E9%80%8F-%E5%9F%9F%E5%86%85%E4%BF%A1%E6%81%AF%E6%94%B6%E9%9B%86.html
只会敲一些干货给大家，写作不易，喜欢转载加收藏即可，希望可以帮助大家在实战中应用起来。

欢迎大家关注个人公众号，本人致力于红队安全攻防的研究，每日分享技术干货，绝不水文，愿对你有所帮助！