从暴力枚举到全面掌控域

在内网渗透过程中，获取未加入域的主机权限后，无法直接访问域信息。我们可以通过钓鱼、欺骗等方法获取域中普通用户的权限。本文详细介绍了通过暴力枚举域用户名进行域渗透的具体步骤和工具使用方法，包括krbguess、Nmap和Metasploit等。此外，还介绍了如何利用已获取的域用户凭证进一步搜索域数据库，获取用户账户、权限信息、域密码策略等关键数据，并推荐了windapsearch、PowerView和RSAT等工具来实现这些目标。

在内网渗透中，当我们获得一个未加入域的内网主机权限时，无法直接获取域中的相关信息。我们可以通过钓鱼、欺骗、信息收集、密码猜解等方式获取一个域中普通用户的权限。下面详细介绍如何通过暴力枚举域中的用户名来进行域渗透。

在对域中信息一无所知的情况下，我们可以通过字典方式枚举域中的账户名称。用户名枚举需要根据以下错误信息来辨别用户名是否正确：

推荐几个工具来完成这个工作：

krbguess 下载地址：

枚举命令如下：

Nmap krb5-enum-users NSE Script 使用方法：

Metasploit 的模块：模块信息如下：

使用这个模块需要提供三个参数：

1. 域名（Domain）
2. 域控 IP（RHOST）
3. 用户字典（USER_LIST）

输入 run 运行之后的结果如图：

运行完成后会将结果保存在 Metasploit 的数据库中，输入命令 creds 即可查看存在的用户。

枚举用户凭证可以使用 Metasploit 的 auxiliary/scanner/smb/smb_login 来枚举用户的密码凭证，使用帮助如下：

获取域中用户信息后，我们可能已经获得了一个或若干域用户凭证，不需要再通过暴力枚举来获取用户信息，而是可以使用域中用户的身份去域数据库中搜索我们想要的数据。

我们的几个目标如下：

1. 获取用户账户
2. 获取用户权限信息（例如 domain admin 组或者远程桌面管理组）
3. 枚举域密码策略
4. 获取进一步的攻击途径

下面介绍几个可以满足上述需求的工具。

windapsearch 工具下载地址：

这个工具是用 Python 写的，可以通过域控的 LDAP 服务查询用户、组和计算机信息，使用命令如下：

-U 参数的意思是获取域中的所有用户，例如：

我们可以使用 grep 和 cut 清理一些信息，结果如下：

使用 -da 参数可以获取 domain admins 组中的成员：

使用 -m 参数可以获取远程桌面组的成员：

PowerView 这个工具大家都不陌生，使用的人挺多，作者博客：

我们需要在未加入域的主机上使用 runas 和 /netonly 建立一个由域用户启动的 PowerShell 会话：

我们需要在弹出的框中输入密码：

现在我们已经安装好了 PowerSploit，路径如下：

我们导入 PowerSploit 模块：

我们使用下面的命令导出域用户：

使用下面的命令导出 domain admins 组成员：

使用下面的命令导出远程桌面管理组的成员：

我们还可以使用当前用户的身份查询他可以访问的共享列表：

RSAT（微软远程服务管理工具） Microsoft RSAT 的目的是让管理员可以通过远程来管理 Windows 服务器，这个工具的使用与上面的类似，首先创建一个域中普通用户权限的 PowerShell 会话，然后执行下面的命令获取域密码策略：

我们也可以使用 RAST 的界面程序，使用 runas 启动：

下面我们用这种方式来增加主机或用户到域中：

将域控制器实例改为我们的目标：

我们下面看看在域中的用户信息：

参考链接

理论要掌握，实操不能落！以上关于《从暴力枚举到全面掌控域》的详细介绍，大家都掌握了吧！如果想要继续提升自己的能力，那么就来关注golang学习网公众号吧！