問題一：跨域滲透

在一個(gè)內(nèi)網(wǎng)中a域(a.ab.abc.com的)的域管權(quán)限已獲取，整個(gè)域已經(jīng)控制。通過net view /domain:b看到b域(b.ab.abc.com)內(nèi)有很多機(jī)器，用A域的機(jī)器，能ping通B域內(nèi)的機(jī)器，想跨域滲透b域內(nèi)的機(jī)器，拿b域的域管權(quán)限。

請(qǐng)教群里的大牛有什么好的辦法，能跳到B域內(nèi)嗎?

1、查看域控本地管理員，是否有主域用戶管理

2、查看本域用戶和另一域的管理用戶同名情況，密碼可能一樣

3，查看域控管理員，查看用戶同名情況，看有沒有其他信任域管理

找到信任的樹或者深林，找到有信任關(guān)系的x.ab.abc.com和a.ab.abc.com驗(yàn)證信任關(guān)系通過么?

查看信任關(guān)系的方法 nltest /domain_trusts

http://technet.microsoft.com/zh-cn/library/cc731935

4、查看是不是信任域，假如是的話 用A的企業(yè)管理員去登錄B域控

5、用A的用戶登錄B的機(jī)子 假如有g(shù)uest權(quán)限就可以用enum查看機(jī)子管理員

6、ping B域內(nèi)的服務(wù)器查看是不是和A在同一個(gè)C段，假如是有可能本地管理員密碼一致。

問題二 關(guān)于內(nèi)網(wǎng)滲透的討論

若一內(nèi)網(wǎng),是個(gè)域環(huán)境,目前只有域內(nèi)的一臺(tái)PC以及一個(gè)普通域帳號(hào)密碼,大牛們都有哪些方法可以逐步的拿到域管權(quán)限?

俺先拋磚引玉了

一 用普通域用戶進(jìn)行遍歷,若運(yùn)氣好,域管權(quán)限設(shè)置不嚴(yán)格,可以逐步拿到域內(nèi)其它機(jī)器的權(quán)限,通過抓hash破解等

方法,可以拿域管權(quán)限.

二 翻機(jī)器文件,找驚喜.

1 先把域的各種信息拉過來，然后找管理員在哪登錄，搞他

2 找內(nèi)網(wǎng)web，相對(duì)外部的web較為薄弱

3 找域登錄腳本，那里一般對(duì)所有人開放，有可能搞到一些賬號(hào)密碼

4 ipc一個(gè)個(gè)的試其它機(jī)器

5 主要還是收集信息，用現(xiàn)在的賬戶，讀取域全部用戶的信息

6 掃弱口令，內(nèi)網(wǎng)溢出

7 其實(shí)，常規(guī)的方法就是那些東西，主要是大膽心細(xì)，深入的話就考慮IPS IDS等各種蛋疼的設(shè)備了，再就是

route dns vpn的使用，權(quán)限死的話還是從app

server下手

8 先找日常通訊用的工具，比如郵件，通訊工具聊天記錄，這些都是收集信息的重要步驟，比如你可以從通訊錄

里面找到企業(yè)的結(jié)構(gòu)，然后看看肉雞的日常工作內(nèi)容，在按內(nèi)容發(fā)一封郵件給他們領(lǐng)導(dǎo)，這時(shí)候鍵盤記錄和木馬就

很重要了。

9 內(nèi)網(wǎng)掃描不建議用，ARP之類的更不要用...防護(hù)嚴(yán)的內(nèi)網(wǎng)被發(fā)現(xiàn)的幾率接近100%

10 內(nèi)網(wǎng)滲透不能急 先穩(wěn)住當(dāng)前機(jī)器，dump當(dāng)前機(jī)器的本地hash,用本地管理員賬號(hào)去ipc其它機(jī)器試試...或者本

地管理密碼變換一下與domain admins的賬號(hào)對(duì)應(yīng)起來試試，運(yùn)氣好的話，能多擴(kuò)幾臺(tái)機(jī)器，運(yùn)氣更好的話，讓你

猜到domain admins賬號(hào)。

11 wce -w一下，說不定讓你抓到域管密碼

12 當(dāng)前機(jī)器中鍵盤記錄，記錄下此人有沒有登錄內(nèi)網(wǎng)的其他應(yīng)用

問題三 如何根據(jù)域用戶,查找其對(duì)應(yīng)的機(jī)器名

環(huán)境是域,域最高權(quán)限有,知道域里面的一個(gè)用戶名.

如何才能找到這個(gè)用戶名在域里面的機(jī)器名?

求大牛指教?

1 netsess.exe(得用戶在線+運(yùn)氣不錯(cuò))

2 列出所有計(jì)算機(jī)的詳細(xì)信息，運(yùn)氣好可能機(jī)器備注是誰的

3 拖回所有域控登錄日志(最好是命令行查閱，動(dòng)靜較小)

4 如果有exchange服務(wù)器，去找登錄日志，exchange的日志很詳細(xì)

5 其它域內(nèi)服務(wù)日志

6 查看用戶最后登錄域的時(shí)間，然后利用windows自帶的腳本去導(dǎo)出相應(yīng)時(shí)間短的日志，看日志直接搞定

7 域控寫登錄腳本

8 eventquery.vbs -s server -u -p /l security /fi "id eq 540"|find /i "your user"

9 查詢所有登錄、注銷相關(guān)的日志語法：

wevtutil qe security /rd:true /f:text /q:"*[system/eventid=4624 and 4623 4627]"

遠(yuǎn)程查詢時(shí)在后面加入/r:computer /u:user /p:password，比如查詢dc1上的登錄注銷日志：

wevtutil qe security /rd:true /f:text /q:"*[system/eventid=4624 and 4623 and 4672]" /r:dc1

/u:administrator /p:password