内网域渗透工具
文章来源:系统安全运维
推荐一内网域渗透工具:
1.工具目录:
2.使用方式:
1)NetLocalGroupGetMembers
功能:查询目标服务器本地管理组的成员
2)NetLocalGroupEnum
功能:返回指定服务器上的所有本地组
3)NetGroupGetUsers
功能:返回指定服务器指定组的所有成员
查询域里的各个组里的成员,IP必须是域控IP
4)NetUserEnum
功能:查询目标服务器所有用户,包括隐藏用户
5)wnetaddconnection2a
功能:建立IPC连接,可以将目标共享目录映射到本地磁盘
6)WNetCancelConnection2
功能:删除IPC连接
7)EnuDomainUser
功能:枚举域用户
· 介绍
适用于:当前边界机器权限是工作组机器,通过nltest或者nbtscan等工具发现内网有域环境,并且找到域控IP,但是没有域用户的权限下渗透思路。
前提条件:能够和域控建立空连接
实现原理:域管默认都会有administrator用户,通过windows api查出administrator域管的SID,然后遍历SID范围,枚举出域成员(域用户和域机器)。
SID范围:域用户和域机器的SID一般是1000以上,所以使用工具的时候遍历1000以上的SID
8)BlastDomainUserPwd
功能:爆破域用户密码
·介绍
通过IPC连接->爆破域用户的密码
结合EnuDomainUser工具或者kerbrute工具获取域用户名列表,然后进行爆破
如果被360杀,改一下exe名字即可
设计思路:
如果能够和域控建立空连接,则用EnuDomainUser工具枚举遍历出所有域用户名
如果不能够和域控建立空连接,则用kerbrute工具爆破域用户名
当获取到一批域用户名后,开始尝试域用户密码的弱口令爆破
域用户密码有强度要求,则尝试爆破强弱口令。例如:P@ssw0rd、1qaz@WSX等
域用户名字典格式规范:域名\域用户名
domain\user
运行实例: BlastDomainUserPwd.exe \\192.168.52.2 domainUser.txt 1qaz@WSX 3
成功爆破出的域用户密码保存在当前目录的success.txt文本里
9)SchtaskBackDoorWebshell
功能:计划任务维持webshell
· 适用场景:
护网中被防守方发现webshell,并清除出去,漏洞也被修复,然后网站恢复后不能再上传webshell时,通过计划任务重写webshell。
· 条件:
管理员权限,因为创建计划任务得需要管理员权限
· 使用方法:
xxxx.exe c:\wwww\upload\1.jsp
· 实现过程:
将c:\wwww\upload\1.jsp内容复制到c:\windows\temp\tempsh.txt里,然后创建了一个计划任务,执行的命令是c:\windows\system32\cmd.exe /c copy c:\windows\temp\tempsh.txt c:\wwww\upload\1.jsp,每半小时触发一次。
10)regeditBypassUAC
功能:过uac执行exe,编译好的exe只适用于win10,win7不行
项目下载地址:https://codeload.github.com/SkewwG/domainTools/zip/refs/heads/master