域内的信息搜集

查询当前机器名/用户

命令：

whoami

判断是否在域内

命令：

• ipconfig /all
• systeminfo
• net config workstation
• net time /domain

查询域内所有用户组信息

命令：

net group /domain

查询域内特定组的计算机成员

命令：
net group “组名” /domain

定位域控-命令1

nltest /DCLIST:域名

定位域控-命令2

nslookup -type=SRV \_ldap._tcp

定位域控-命令3

net time /domain

定位域控-命令4

net group "Domain Controllers" /domain

查询域内用户

向域控制器dc进行查询

net user /domain

查询域管理员用户

net group "domain admins" /domain

定位域管-工具

psloggedon.exe

可以显示本地登录的用户

命令：psloggedon.exe [-] [-l] [-x] [\\computername或username]

PVEDFindADUser.exe

可用于查找 AD用户登录的位置，枚举域用户，以及查找在特定计算机上登录的用户，包括本地用户、通过RDP 登录的用户、用于运行服务和计划任务的用户账户

命令：pvefindaduser.exe -current

PowerView - powershell 脚本

命令：

powershell.exe -exec bypass -command "& { import-module .\PowerView.ps1;Invoke-UserHunter}"

IP扫描

ICMP协议扫描

ICMP是(Internet Control Message Protocol)Internet控制报文协议

icmp协议报文

ping 命令配合CMD语法进行C段扫描

语法：for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.110.%I | findstr "TTL=

fping（高权限用户使用）

用于向网络主机发送ICMP 回应请求，类似于ping，但在ping多个主机时性能要高得多

命令：

fping IP1 IP2 -c 10 扫描多个IP 10次

fping -a -g 172.18.9.0/24 扫描C端

ARP协议扫描

arp协议-地址解析协议

报文

查询arp 缓存表

命令：arp -a

arp工具探测

命令：arp.exe -t IP段

NetBIOS协议扫描

NetBIOS协议介绍NetBIOS协议是由IBM公司开发，主要用于数十台计算机的小型局域网。 NetBIOS协议是一种在局域网上的程序可以使用的应用程序编程接口(API)，为程序提供了请求低级服 务的统一的命令集，作用是为了给局域网提供网络以及其他特殊功能，几乎所有的局域网都是在 NetBIOS协议的基础上工作的，在网络中使用计算机名通讯就是使用NetBIOS协议， NetBIOS协议,主 要用于局域网通信,开启之后,局域网的其他计算机可以发现并找到你的计算机

nbtscan.exe

命令：nbtscan.exe IP段

工具-fscan

一款内网综合扫描工具，方便一键自动化、全方位漏扫扫描。 支持主机存活探测、 端口扫描、常见服务的爆破、ms17010、redis批量写公钥、计划任务反弹shell、读取win网卡信息、web指 纹识别、web漏洞扫描、netbios探测、域控识别等功能。

项目地址：https://github.com/shadow1ng/fscan

工具-kscan

kscan是一款资产测绘工具，可针对指定资产进行端口扫描以及TCP指纹识别和Banner抓取，在 不发送更多的数据包的情况下尽可能的获取端口更多信息。并能够针对扫描结果进行自动化暴 力破解，且是go平台首款开源的RDP暴力破解工具

项目地址：https://github.com/lcvvvv/kscan

端口扫描

常见端口对应服务

工具-ScanLine

ScanLine是一款windows下的端口扫描的命令行程序，它可以完成PING扫描、TCP端口扫描、 UDP端口扫描等功能。运行速度很快，不需要winPcap库支持，应用场合受限较少。

相关参数：

命令：scanline.exe [参数]端口 IP地址

ScanLine.exe -bhpt 139,445,135,3389,1002,2 192.168.110.30