域內(nèi)網(wǎng)中的信息收集之一內(nèi)網(wǎng)結(jié)構(gòu)的探測 | bugcx's blog | 關(guān)注網(wǎng)絡(luò)安全Author:bugcx or AnonymousUrl:http://blog.bug.cx/2012/04/25

域內(nèi)網(wǎng)中的信息收集之一內(nèi)網(wǎng)結(jié)構(gòu)的探測 | bugcx's blog | 關(guān)注網(wǎng)絡(luò)安全

Author:bugcx or AnonymousUrl:http://blog.bug.cx/2012/04/25/域內(nèi)網(wǎng)中的信?| bugcx's blog | 關(guān)注網(wǎng)絡(luò)安全(擼一擼)

作者：lcx

這期的專欄是我設(shè)定的題目，看夠了注入，是不是想了解一下內(nèi)網(wǎng)的入侵手法呢？做為出題人，自然要寫一篇了。在各式各樣大小不同的內(nèi)網(wǎng)中，最常見的就是域內(nèi) 網(wǎng)了。其實域內(nèi)網(wǎng)的入侵和我們平常的入侵手法在總體上來講的邏輯也是一樣，也是信息的收集、分析，找出薄弱點，然后擊破，再綜合歸納整理，最終拿到域管理 員的密碼，算是大功告成。有了內(nèi)網(wǎng)的第一臺機器的權(quán)限后，如何收集信息，這是很關(guān)鍵

的一步，這篇文章講的就是域內(nèi)網(wǎng)信息的收集的第一步。

從圖1中我們可以看到子網(wǎng)掩碼、本機IP 、網(wǎng)關(guān)和dns 服務(wù)器是多少。你可以用這些數(shù)據(jù)結(jié)合Advanced IP Address Calculator這個工具來在腦子里畫出一個大體結(jié)構(gòu)，看看有幾個子網(wǎng)呀，每個子網(wǎng)可能有多大等等，我認為不重要，略過。多數(shù)內(nèi)網(wǎng)當(dāng)中，很有可能DNS 服務(wù)器也就是其中的一臺域服務(wù)器。另一個重要的命令就是net 命令了，net view是可以看到本機所在的域約有多少臺機器,net view /domain，可以看到有幾個域，”net view /domain:域名“ 是看每個域中有多少臺機器，net group "domain admins" /domain，是可以看到域管理員的名字，運氣好的情況下是直接可以看到域服務(wù)器是哪一臺，如圖2所示。net group是看看把用戶分了多少個組。在英文機器中，我們要看域管理員密碼用的是net group "domain admins" /domain，在非英文英器上你可能要把domain admins這個名字來換一下了，就要先用net group來看看哪一個可能是域管理員的組。

域內(nèi)網(wǎng)中的信息收集之一內(nèi)網(wǎng)結(jié)構(gòu)的探測 | bugcx's blog | 關(guān)注網(wǎng)絡(luò)安全

以上關(guān)鍵探測的步驟是探測出域管理員的名字和域服務(wù)器的名字。探測域服務(wù)器是哪一臺還有另幾個辦法，除了dns 的名字

和net group "domain admins" /domain這個命令外，另一個辦法是net time /domain，因為域服務(wù)器一般也做時間服務(wù)器。不過除了用系統(tǒng)命令外，結(jié)合工具也是不錯的辦法。微軟對域提供了專門的adsi （Active Directory）活動目錄服務(wù)模型，其中在域用到的就是ADSI 的接口之一LDAP 提供者，用來管理域的。我們可以寫一個很簡短的vbs 程序來探測出域服務(wù)器是哪一臺，1.vbs 代碼如下：★set obj=GetObject("LDAP://rootDSE") wscript.echo obj.servername

★

運行后的結(jié)果如圖3所示。

域內(nèi)網(wǎng)中的信息收集之一內(nèi)網(wǎng)結(jié)構(gòu)的探測 | bugcx's blog | 關(guān)注網(wǎng)絡(luò)安全

收集的到這些信息夠了嗎？當(dāng)然不足夠，所以我們還要繼續(xù)收集。http://www.rlmueller.net這個網(wǎng)站是有很多專門針對域的vbs ，我精選挑選了兩個，還做了一下改動，讓它更適應(yīng)我們的入侵。第一個是DocumentProperties.vbs ，代碼太長我就不列了，直接來看運行示例。第一個是cscript DocumentProperties.vbs LDAP://dc=gethash,dc=cn，你會得太多的信息了，在圖4、圖5中我沒有辦法截全圖，大家運行一下就清楚了。大家可能會想我為什么會用LDAP://dc=gethash,dc=cn這個，這串從哪來的，其實就是在圖3中我寫的那兩句小代碼1.vbs 來得到的。當(dāng)然你也可以具體到看具體用戶像LDAP://cn=TestUser,ou=Sales,dc=MyDomain,dc=com這樣的一串，表示在MyDomain 這個域中里邊的Sales 部門里的TestUser

用戶是什么樣的具體信息。

我們再用DocumentProperties.vbs 來舉兩例，用它也直接可以探測本機信息的。第一個

是cscript DocumentProperties.vbs WinNT://./administrator，查看本機administrator 的信息，看一下密碼長度呀，多久過期等。如果你看到可能一兩天就要過期了，表示它肯定要來修改密碼了，這時你就想到要丟一下記錄密碼的東東上去了。再來一個

是cscript DocumentProperties.vbs WinNT://./Themes,service，來查看Themes 服務(wù)的相關(guān)信息，可以看到路徑、啟動方式，和帳號的啟動方式等，分別示例如圖6、圖7。

域內(nèi)網(wǎng)中的信息收集之一內(nèi)網(wǎng)結(jié)構(gòu)的探測 | bugcx's blog | 關(guān)注網(wǎng)絡(luò)安全

域內(nèi)網(wǎng)中的信息收集之一內(nèi)網(wǎng)結(jié)構(gòu)的探測 | bugcx's blog | 關(guān)注網(wǎng)絡(luò)安全