域內(nèi)網(wǎng)中的信息收集之一內(nèi)網(wǎng)結(jié)構(gòu)的探測(cè) | bugcx's blog | 關(guān)注網(wǎng)絡(luò)安全Author:bugcx or AnonymousUrl:http://blog.bug.cx/2012/04/25

域內(nèi)網(wǎng)中的信息收集之一內(nèi)網(wǎng)結(jié)構(gòu)的探測(cè) | bugcx's blog | 關(guān)注網(wǎng)絡(luò)安全

Author:bugcx or AnonymousUrl:http://blog.bug.cx/2012/04/25/域內(nèi)網(wǎng)中的信?| bugcx's blog | 關(guān)注網(wǎng)絡(luò)安全(擼一擼)

作者：lcx

這期的專(zhuān)欄是我設(shè)定的題目，看夠了注入，是不是想了解一下內(nèi)網(wǎng)的入侵手法呢？做為出題人，自然要寫(xiě)一篇了。在各式各樣大小不同的內(nèi)網(wǎng)中，最常見(jiàn)的就是域內(nèi) 網(wǎng)了。其實(shí)域內(nèi)網(wǎng)的入侵和我們平常的入侵手法在總體上來(lái)講的邏輯也是一樣，也是信息的收集、分析，找出薄弱點(diǎn)，然后擊破，再綜合歸納整理，最終拿到域管理 員的密碼，算是大功告成。有了內(nèi)網(wǎng)的第一臺(tái)機(jī)器的權(quán)限后，如何收集信息，這是很關(guān)鍵

的一步，這篇文章講的就是域內(nèi)網(wǎng)信息的收集的第一步。

從圖1中我們可以看到子網(wǎng)掩碼、本機(jī)IP 、網(wǎng)關(guān)和dns 服務(wù)器是多少。你可以用這些數(shù)據(jù)結(jié)合Advanced IP Address Calculator這個(gè)工具來(lái)在腦子里畫(huà)出一個(gè)大體結(jié)構(gòu)，看看有幾個(gè)子網(wǎng)呀，每個(gè)子網(wǎng)可能有多大等等，我認(rèn)為不重要，略過(guò)。多數(shù)內(nèi)網(wǎng)當(dāng)中，很有可能DNS 服務(wù)器也就是其中的一臺(tái)域服務(wù)器。另一個(gè)重要的命令就是net 命令了，net view是可以看到本機(jī)所在的域約有多少臺(tái)機(jī)器,net view /domain，可以看到有幾個(gè)域，”net view /domain:域名“ 是看每個(gè)域中有多少臺(tái)機(jī)器，net group "domain admins" /domain，是可以看到域管理員的名字，運(yùn)氣好的情況下是直接可以看到域服務(wù)器是哪一臺(tái)，如圖2所示。net group是看看把用戶分了多少個(gè)組。在英文機(jī)器中，我們要看域管理員密碼用的是net group "domain admins" /domain，在非英文英器上你可能要把domain admins這個(gè)名字來(lái)?yè)Q一下了，就要先用net group來(lái)看看哪一個(gè)可能是域管理員的組。

域內(nèi)網(wǎng)中的信息收集之一內(nèi)網(wǎng)結(jié)構(gòu)的探測(cè) | bugcx's blog | 關(guān)注網(wǎng)絡(luò)安全

以上關(guān)鍵探測(cè)的步驟是探測(cè)出域管理員的名字和域服務(wù)器的名字。探測(cè)域服務(wù)器是哪一臺(tái)還有另幾個(gè)辦法，除了dns 的名字

和net group "domain admins" /domain這個(gè)命令外，另一個(gè)辦法是net time /domain，因?yàn)橛蚍?wù)器一般也做時(shí)間服務(wù)器。不過(guò)除了用系統(tǒng)命令外，結(jié)合工具也是不錯(cuò)的辦法。微軟對(duì)域提供了專(zhuān)門(mén)的adsi （Active Directory）活動(dòng)目錄服務(wù)模型，其中在域用到的就是ADSI 的接口之一LDAP 提供者，用來(lái)管理域的。我們可以寫(xiě)一個(gè)很簡(jiǎn)短的vbs 程序來(lái)探測(cè)出域服務(wù)器是哪一臺(tái)，1.vbs 代碼如下：★set obj=GetObject("LDAP://rootDSE") wscript.echo obj.servername

★

運(yùn)行后的結(jié)果如圖3所示。

域內(nèi)網(wǎng)中的信息收集之一內(nèi)網(wǎng)結(jié)構(gòu)的探測(cè) | bugcx's blog | 關(guān)注網(wǎng)絡(luò)安全

收集的到這些信息夠了嗎？當(dāng)然不足夠，所以我們還要繼續(xù)收集。http://www.rlmueller.net這個(gè)網(wǎng)站是有很多專(zhuān)門(mén)針對(duì)域的vbs ，我精選挑選了兩個(gè)，還做了一下改動(dòng)，讓它更適應(yīng)我們的入侵。第一個(gè)是DocumentProperties.vbs ，代碼太長(zhǎng)我就不列了，直接來(lái)看運(yùn)行示例。第一個(gè)是cscript DocumentProperties.vbs LDAP://dc=gethash,dc=cn，你會(huì)得太多的信息了，在圖4、圖5中我沒(méi)有辦法截全圖，大家運(yùn)行一下就清楚了。大家可能會(huì)想我為什么會(huì)用LDAP://dc=gethash,dc=cn這個(gè)，這串從哪來(lái)的，其實(shí)就是在圖3中我寫(xiě)的那兩句小代碼1.vbs 來(lái)得到的。當(dāng)然你也可以具體到看具體用戶像LDAP://cn=TestUser,ou=Sales,dc=MyDomain,dc=com這樣的一串，表示在MyDomain 這個(gè)域中里邊的Sales 部門(mén)里的TestUser

用戶是什么樣的具體信息。

我們?cè)儆肈ocumentProperties.vbs 來(lái)舉兩例，用它也直接可以探測(cè)本機(jī)信息的。第一個(gè)

是cscript DocumentProperties.vbs WinNT://./administrator，查看本機(jī)administrator 的信息，看一下密碼長(zhǎng)度呀，多久過(guò)期等。如果你看到可能一兩天就要過(guò)期了，表示它肯定要來(lái)修改密碼了，這時(shí)你就想到要丟一下記錄密碼的東東上去了。再來(lái)一個(gè)

是cscript DocumentProperties.vbs WinNT://./Themes,service，來(lái)查看Themes 服務(wù)的相關(guān)信息，可以看到路徑、啟動(dòng)方式，和帳號(hào)的啟動(dòng)方式等，分別示例如圖6、圖7。

域內(nèi)網(wǎng)中的信息收集之一內(nèi)網(wǎng)結(jié)構(gòu)的探測(cè) | bugcx's blog | 關(guān)注網(wǎng)絡(luò)安全

域內(nèi)網(wǎng)中的信息收集之一內(nèi)網(wǎng)結(jié)構(gòu)的探測(cè) | bugcx's blog | 關(guān)注網(wǎng)絡(luò)安全