内网渗透方面的几个问题

问题一：跨域渗透

在一个内网中a域(a.ab.abc.com的)的域管权限已获取，整个域已经控制。通过net view /domain:b看到b域(b.ab.abc.com)内有很多机器，用A域的机器，能ping通B域内的机器，想跨域渗透b域内的机器，拿b域的域管权限。

请教群里的大牛有什么好的办法，能跳到B域内吗?

1、查看域控本地管理员，是否有主域用户管理

2、查看本域用户和另一域的管理用户同名情况，密码可能一样

3，查看域控管理员，查看用户同名情况，看有没有其他信任域管理

找到信任的树或者深林，找到有信任关系的x.ab.abc.com和a.ab.abc.com验证信任关系通过么?

查看信任关系的方法 nltest /domain_trusts

http://technet.microsoft.com/zh-cn/library/cc731935

4、查看是不是信任域，假如是的话 用A的企业管理员去登录B域控

5、用A的用户登录B的机子 假如有guest权限就可以用enum查看机子管理员

6、ping B域内的服务器查看是不是和A在同一个C段，假如是有可能本地管理员密码一致。

问题二 关于内网渗透的讨论

若一内网,是个域环境,目前只有域内的一台PC以及一个普通域帐号密码,大牛们都有哪些方法可以逐步的拿到域管权限?

俺先抛砖引玉了

一 用普通域用户进行遍历,若运气好,域管权限设置不严格,可以逐步拿到域内其它机器的权限,通过抓hash破解等

方法,可以拿域管权限.

二 翻机器文件,找惊喜.

1 先把域的各种信息拉过来，然后找管理员在哪登录，搞他

2 找内网web，相对外部的web较为薄弱

3 找域登录脚本，那里一般对所有人开放，有可能搞到一些账号密码

4 ipc一个个的试其它机器

5 主要还是收集信息，用现在的账户，读取域全部用户的信息

6 扫弱口令，内网溢出

7 其实，常规的方法就是那些东西，主要是大胆心细，深入的话就考虑IPS IDS等各种蛋疼的设备了，再就是

route dns vpn的使用，权限死的话还是从app

server下手

8 先找日常通讯用的工具，比如邮件，通讯工具聊天记录，这些都是收集信息的重要步骤，比如你可以从通讯录

里面找到企业的结构，然后看看肉鸡的日常工作内容，在按内容发一封邮件给他们领导，这时候键盘记录和木马就

很重要了。

9 内网扫描不建议用，ARP之类的更不要用...防护严的内网被发现的几率接近100%

10 内网渗透不能急 先稳住当前机器，dump当前机器的本地hash,用本地管理员账号去ipc其它机器试试...或者本

地管理密码变换一下与domain admins的账号对应起来试试，运气好的话，能多扩几台机器，运气更好的话，让你

猜到domain admins账号。

11 wce -w一下，说不定让你抓到域管密码

12 当前机器中键盘记录，记录下此人有没有登录内网的其他应用

问题三 如何根据域用户,查找其对应的机器名

环境是域,域最高权限有,知道域里面的一个用户名.

如何才能找到这个用户名在域里面的机器名?

求大牛指教?

1 netsess.exe(得用户在线+运气不错)

2 列出所有计算机的详细信息，运气好可能机器备注是谁的

3 拖回所有域控登录日志(最好是命令行查阅，动静较小)

4 如果有exchange服务器，去找登录日志，exchange的日志很详细

5 其它域内服务日志

6 查看用户最后登录域的时间，然后利用windows自带的脚本去导出相应时间短的日志，看日志直接搞定

7 域控写登录脚本

8 eventquery.vbs -s server -u -p /l security /fi "id eq 540"|find /i "your user"

9 查询所有登录、注销相关的日志语法：

wevtutil qe security /rd:true /f:text /q:"*[system/eventid=4624 and 4623 4627]"

远程查询时在后面加入/r:computer /u:user /p:password，比如查询dc1上的登录注销日志：

wevtutil qe security /rd:true /f:text /q:"*[system/eventid=4624 and 4623 and 4672]" /r:dc1

/u:administrator /p:password