关于域内信息收集
【摘要】 域内信息收集是红蓝对抗中重要一环,本文记录域内信息收集的流程
判断自己的身份
-
windows whoami
-
linux id -un
定位域控
-
net view /domain
-
net user /domain
-
nslookup -qt=ns 定位DC (DNS定位)
-
net time /domain #查看时间服务器 --ntp
-
hostname #查看机器名称
查看登录历史(工具篇)
-
psloggedon.exe
-
PVEFindADUser.exe
-
PowerView
域信任关系
nltest /domain_trusts
NTDS.dit 导出hash
- vss(卷映射拷贝服务)快照对文件导出,将ntds文件拷贝出来用工具解析就可以看到ntds文件内容了。
常见内网拓扑分析
- 分层
接入层交换机(用户对接)---->汇聚层交换机(汇总数据转发流量可能会做安全策略)------->核心交换机(可能会部署安全设备tcp旁路阻断)----->路由器------>互联网
- 分区
(办公内网)【EDR,杀毒软件,办公安全软件】,
(业务服务器--->数据库,中间件,k8s,容器之类的)【HIDS,防火墙,流量探针,堡垒机】,
(DMZ--->边界区域,不能进入内网。)【防火墙,ips,态势感知,ids,waf,单向网闸】(运维管理区---->一般开放vpn)【控制终端】
- 蜜罐(哪里都可以部署蜜罐)
【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
评论(0)