阶段一：宏观侦察

这个阶段的目标是在不暴露自己身份的情况下，尽可能多地了解域环境的整体情况

确定网络边界和域控位置：
- DNS 侦察： 查询 DNS 服务器，获取域控（DC）、全局编录服务器（GC）的 IP 地址。通常通过 nslookup 或 dig 命令查询 _ldap._tcp.dc._msdcs.<domain_name> 或 _kerberos._tcp.dc._msdcs.<domain_name> 记录。这是最基本的域内服务发现方法
- SMB 侦察： 使用 nbtscan 或 nmap 扫描器，发现网络中开放了 445 端口（SMB）的主机，这些主机很可能是 Windows 主机，其中域控的特征会更明显
判断域的信任关系：
- 域之间可能存在信任关系，允许一个域的用户访问另一个域的资源。通过 nltest /domain_trusts 或 PowerView 的 Get-DomainTrust 命令可以列出域之间的信任关系。这是一个重要的横向移动点，如果能控制一个受信任的子域，可能可以借此攻击主域
发现域内主机：
- ICMP/ARP 扫描： 使用 ping 或 nmap -sn 对内网 IP 段进行存活主机探测
- 端口扫描： 发现域内主机开放的服务，特别是 Kerberos (88/TCP)、LDAP (389/TCP)、SMB (445/TCP)、WinRM (5985/TCP) 等与域服务相关的端口

阶段二：微观信息枚举

在初步了解了域环境后，这个阶段的目标是利用已有的权限（即使是普通用户权限），深入挖掘域内的各种实体信息

1. 用户和组信息枚举

目标： 发现域内所有用户、管理员账户、组及其成员
常用技术：
- net user /domain 和 net group /domain： 最基础的命令行工具，可以列出域内用户和组
- PowerView (PowerShell): 这是域渗透中最强大的信息收集工具之一。它提供了大量 cmdlet，如 Get-DomainUser、Get-DomainGroup、Get-DomainGroupMember，可以高效、详细地查询域内用户、组及其关系
- AdFind.exe： 一款经典的 LDAP 查询工具，可以灵活地查询域内任何信息
- BloodHound： 这是一个革命性的工具，它通过收集域内用户、组、计算机、服务等实体之间的关系，并以图形化方式展示，帮助攻击者快速找到通往域控的最短攻击路径。这是渗透测试中必不可少的工具

2. 计算机和域控信息枚举

目标： 发现域内所有计算机，特别是域控、高权限服务器，以及这些机器上运行的服务
常用技术：
- PowerView 的 Get-DomainComputer： 可以获取域内所有计算机的详细信息，包括操作系统、角色（如是否为域控）等
- SMB 和 WinRM 枚举： 尝试连接域内计算机的 SMB 或 WinRM 服务，并使用已有的凭据进行登录，如果成功，可以进一步收集该机器上的本地信息。

3. 服务信息枚举（Kerberoasting）

目标： 发现域内所有注册了 SPN (Service Principal Name) 的服务账户
常用技术：
- PowerView 的 Get-DomainSPN： 专门用于查询注册了 SPN 的服务账户
- Kerberoasting 攻击： 通过向 KDC (Key Distribution Center) 请求特定服务的 TGS 票据，然后离线破解票据中的哈希，从而获取服务账户的明文密码。这是一个非常高效的域内提权和横向移动方法

4. 组策略信息（SYSVOL）

目标： 收集域内的组策略设置，寻找配置不当或包含敏感信息的 GPO
常用技术：
- 访问 \\<domain_name>\SYSVOL 共享： SYSVOL 文件夹是公开可访问的
- 搜索 SYSVOL： 在 SYSVOL 文件夹中搜索密码、脚本（如 .vbs 或 .bat 文件）或任何可能包含敏感信息的 XML 文件。有时管理员会将密码硬编码在组策略脚本中，这会是一个巨大的突破口

5. 域内漏洞扫描与识别

目标： 发现域内存在的已知漏洞，特别是与域服务相关的关键漏洞
常用技术：
- PowerView 的 Find-DomainVulnerableSPN 等： 寻找可能存在漏洞的配置
- 专业漏洞扫描器： 使用商业或开源的漏洞扫描器，如 Nessus、OpenVAS 或专门针对域控的漏洞扫描工具，检查域控和成员服务器是否存在 Zerologon (CVE-2020-1472)、PetitPotam (CVE-2021-36942) 等严重漏洞

1.7 说说域信息收集思路

results matching ""