域内敏感信息搜集技巧
一、基础认知
开展域内敏感信息搜集前,必须完成三项基础工作:
- 获得明确授权:由企业管理层出具正式授权文件,明确搜集范围、目的、期限及信息使用边界,避免“口头授权”带来的法律风险;
- 界定搜集范围:根据授权目的划定具体搜集对象,如仅针对某一业务网段、某类服务器或特定系统,严禁跨范围搜集;
- 制定保护方案:提前规划搜集信息的存储、加密、使用及销毁流程,确保搜集过程可追溯,信息不泄露、不篡改、不滥用。
二、低风险场景下的信息挖掘技巧
被动搜集是指在不主动触发域内系统告警、不与目标设备建立直接交互的前提下,通过分析公开或半公开信息获取敏感数据的方式。该方式风险较低,是域内信息搜集的首选步骤。
共享资源与文档
企业域环境中往往存在大量公开或权限管控宽松的共享资源,是敏感信息的重要来源。
利用点:查找权限配置宽松(如对 "Everyone" 开放)的共享文件夹 。
重点目标:.bak、._bak 等备份文件,可能包含数据库或系统配置备份 。
元数据分析:利用 Office 或 PDF 的属性(作者、保存路径)推断员工账号命名规律或服务器路径 。
访问共享资源时需严格遵循最小权限原则
基础设施信息 (DNS/LDAP)
DNS 缓存:在域内客户端使用 ipconfig /displaydns 查看近期解析记录,梳理活跃设备 。
LDAP 查询:通过 LDAP(轻量目录访问协议)获取用户列表、OU 结构。例如查询 cn=Users 获取所有账号信息
日志分析
域控日志:关注事件 ID 4624 (登录成功)、4625 (登录失败)、4720 (创建用户) 。排查客户端应用日志
SIEM 聚合:通过关键词(如 "password", "pwd")在日志系统中检索明文密码 。
三、 主动探测技巧 (高精度)
主动搜集涉及与设备交互,精度高但可能触发 IDS/IPS 告警,需提前报备 。
存活与服务探测
主机发现:使用 arp-scan (Linux) 或 Advanced IP Scanner (Windows) 进行网段存活扫描 。
端口服务:使用 nmap 识别服务版本(如 nmap -sV),判断是否存在已知漏洞(如老旧 IIS 版本) 。
核心服务定位:通过 nslookup -type=SRV 定位 LDAP 或 Kerberos 服务位置 。
用户与权限核查 (PowerShell)
在获得授权后,使用 PowerShell 的 AD 模块进行审计:
用户详情:Get-ADUser -Filter * -Properties * 。
管理员组:Get-ADGroupMember -Identity "Domain Admins",排查非授权管理员 。
GPO 审计:Get-GPO -All,重点检查密码策略是否合规 。
数据库与应用配置
配置文件:检查 Web 目录下的 web.config 或 config.ini,寻找明文的数据库连接字符串(Database Connection Strings) 。
数据库权限:检查配置信息以及是否存在权限过高的普通用户,以及敏感字段(如身份证号)是否脱敏 。
四、 常用合规工具清单
| 类别 | 工具名称 | 主要用途 |
|---|---|---|
| 网络扫描 | Nmap | 端口扫描、服务版本识别 |
| Advanced IP Scanner | Windows 轻量级存活主机扫描 | |
| 域信息分析 | AD Explorer | 微软官方工具,浏览 LDAP 信息 |
| BloodHound | 域内权限关系可视化,排查攻击路径 | |
| PowerShell AD Module | 系统自带,查询用户、组策略 | |
| 文档/数据 | ExifTool | 提取文档元数据 |
| SQL Server Mgmt Studio | 数据库管理与权限查看 |
浙公网安备 33010602011771号