信息收集

一、初始信息收集

1.查看当前网络及域名

ipconfig /all

2.查看安装的软件版本

wmic product get name,version

3.查看本机服务信息

wmic service list brief

4.查询进程列表

tasklist /svc              
wmic process list brief

wmic这个命令需要权限比较高才能看完全：

5.查询用户

本机是直接net user，如果在域环境里则是net user /domain（当前必须以域用户身份登陆凭据，否则会拒绝访问

6.列出与本地计算机连接的客户端信息

这个很有用，可以看到有谁通过smb协议连接上来。有时候拿到域里一台服务器，可以看到个人机的登陆地址。

net session

7.查询路由表和arp缓存表

route print
//可以看到当前可访问的网络范围，不过很多网络的子网掩码都是随便写的，但是超出掩码范围的还可以访问。

arp -a
//可以看到曾经访问过的IP地址。

8.查询域里DNS服务器信息：

nslookup 域名

可以查看到本域DNS服务器的信息，一些比较小的域都是用DC当dns服务器的。

9.定位域控

net time /domain

net group "domain controllers" /domain

nltest /dsgetdc:域名

nltest /dclist:域名

10.查看域里机器

//这个命令是查看所在域的名字，如果目标存在多个域，可以查看所有的域
net view /domain

//查看域里存在的机器，与本机有通讯的
net view /domain:域名

11.查看域里所有用户组

net group /domain

12.查看域里所有计算机

net group "domain computers" /domain   

13.查看域管账号

net group "domain admins" /domain

14.查看所有域用户账号

net user /domain

15.获取域密码策略

net accounts /domain
//在爆破的时候可以作为参考

16.获取域信任信息

nltest /domain_trusts
//在大型环境里面很有用，多个域之前存在信任关系的话横向比较顺利

17.获取域内用户详细信息

wmic useraccount get /all
//需要与域控135端口通讯

18.查看企业管理员组成员

net group "Enterprise Admins" /domain
//有的环境这个组的成员权限也非常大

二、定位域控

1.psloggedon.exe

psloggedon.exe \IP  

psloggedon.exe username

第一次使用要加 -accepteula 参数，以后就不用了，因为它一开始会有一个同意使用的窗口。

微软签名，正常文件，不需要免杀。

此工具本质是检测注册表中HKEY_USERS的key值、调用了NetSessionEnum的API来判断谁登录过哪台 机器，如果无法读取或者读取注册表失败，此工具效果很差。

2.netsess.exe

netsess.exe \\IP 

3.PVEFindADUser.exe

pvefinaduser.exe -current