作者：赤龙 最近在整理资料时发现一些渗透笔记，于是翻开看看，原来有一个老外的内部网还没有拿下。当时已经给内网的一台机器种植了木马，反正闲着没事就拿它来练练手吧。打开远程居然肉鸡还在，废话就不多说了，下面开始吧。 首先来看看已经控制的这台电脑在内网中充当什么角色，并收集一些常规的信息。执行ipconfig /all (如图1) 从这里我们可以看出，此计算机名为abimaq6，ip地址是172.16.16.139。子网掩码为255.255.240.0、网关172.16.16.1、DNS服务器分别是172.16.16.2和172.16.16.3。还有一个重要的就是这台机器处于域管理模式中，所在域为abimaq.local。 既然是域结构，再来获取一下域用户列表，执行net user /domain命令(如图2)。该命令可显示所有的域用户名单。看来域用户还真多。 再来看看这个内网中到底存在多少个域，要是处于多域状态渗透是比较麻烦的。再执行net view /domain看看这个内网存在多少个域(如图3)。从结果可知这个内网只有ABIMAQ这个域。 现在知道这个内网只有一个域，还知道域用户。我们现在要做的事情就是要获取域当中的管理员列表，因为上面获取的是全部用户信息，包括一般用户跟管理员。这里要获取域管理员列表可以使用net group "domain admins" /domain命令(如图4)。 要是你还想获取某用户的详细信息的话，可以使用net user 域用户 /domain命令获取。 获取了上面的信息之后还是先别着急进行攻击，要真正渗透一个内网需要获取的信息还有很多的。再来刺探一下内网的机器分布状况。执行net view命令，列出内网中的计算机(如图5)。 由计算机名跟备注很容易看出此计算机的用途，图中我左了相关注释。例如计算名为abimaq01这个机器，备注为servidor master ad，以这个命名看，估计这台就是域服务器了。一般情况下，域服务器跟DNS服务器都是同一台机器的，这里我们来验证一下。这里用nbtstat命令，执行nbtstat -a abimaq01(如图6,图是本机抓的)。 如果命令执行的成的话，就可以通过计算机名获取相应ip的。 除了nbtstat命令之外，其实ping命令也可以实现的。执行ping abimaq01(如图7)。 很容易看出abimaq01的IP就是172.16.16.2，这里只能说明这个是DNS服务器。要证明DNS服务器跟域服务器是否是同一个机器，还需要执行ping abimaq.local名判断域服务器的IP地址(如图8)。 通过返回信息可知，证实这里的DNS服务器跟域服务器是同一台机器。 现在再回过头来看看这台机器与内网中的哪些机器通讯，执行arp -a(如图9)。 这里有些朋友就会问为什么要获取这些计算机的列表了，当然你也可以不获取，但是我个人认为还是有这个必要的，有些机器用net view列不出来的，也不能ping，那你就无法判断它是否存在了。但是要是那机器也本机器有通讯的话，用arp -a命令就能查出这个机器。