内网的入侵现在很普遍,但入侵后的信息收集更重要。在各式各样大小不同的内网中,最常见的就是域内网了。其实域内网的入侵和我们平常的入侵手法在总体上来讲的逻辑也是一样,也是信息的收集、分析,找出薄弱点,然后击破,再综合归纳整理,最终拿到域管理员的密码,算是大功告成。有了内网的第一台机器的权限后,如何收集信息,这是很关键的一步,这篇文章讲的就是域内网信息的收集的第一步。


说起来,我们不是专业的组网人员,对内网的拓扑图能否通过第一台机器的IP、子网掩码、dns来划分出,真的是很困难。不过我向来认为这是不重要 的,我们是来搞破坏的,又不是帮它组建。不过想知道大体划分,可以用Advanced IP Address Calculator这个工具来分析一下。在内网中要知道内网的大体结构,几个命令就够了。第一个是ipconfig /all。我在本机搭建了一个域环境,运行得到结果如图1。 

从图1中我们可以看到子网掩码、本机IP、网关和dns服务器是多少。你可以用这些数据结合Advanced IP Address Calculator这个工具来在脑子里画出一个大体结构,看看有几个子网呀,每个子网可能有多大等等,我认为不重要,略过。多数内网当中,很有可能 DNS服务器也就是其中的一台域服务器。另一个重要的命令就是net命令了,net view是可以看到本机所在的域约有多少台机器,net view /domain,可以看到有几个域,”net view /domain:域名“ 是看每个域中有多少台机器,net group "domain admins" /domain,是可以看到域管理员的名字,运气好的情况下是直接可以看到域服务器是哪一台,如图2所示。net group是看看把用户分了多少个组。在英文机器中,我们要看域管理员密码用的是 net group "domain admins" /domain,在非英文英器上你可能要把domain admins这个名字来换一下了,就要先用net group来看看哪一个可能是域管理员的组。


以上关键探测的步骤是探测出域管理员的名字和域服务器的名字。探测域服务器是哪一台还有另几个办法,除了dns的名字和net group "domain admins" /domain这个命令外,另一个办法是net time /domain,因为域服务器一般也做时间服务器。不过除了用系统命令外,结合工具也是不错的办法。微软对域提供了专门的adsi(Active Directory)活动目录服务模型,其中在域用到的就是ADSI的接口之一LDAP提供者,用来管理域的。我们可以写一个很简短的vbs程序来探测出 域服务器是哪一台,1.vbs代码如下: ★ set obj=GetObject("LDAP://rootDSE") wscript.echo obj.servername ★ 运行后的结果如图3所示。