本文由 简悦 SimpRead 转码, 原文地址 mp.weixin.qq.com
拿到域网络后第一件事情就是收集域信息_ipconfig /all ------ 查询本机IP段,所在域等 net user ------ 本机用户列表 net localgroup administrators ------ 本机管理员[通常含有域用户] net user /domain ------ 查询域用户 net group /domain ------ 查询域里面的工作组net group "domain admins" /domain ------ 查询域管理员用户组 net localgroup administrators /domain ------ 登录本机的域管理员net localgroup administrators workgroup\user001 /add ------域用户添加到本机net group "domain controllers" /domain ------ 查看域控制器(如果有多台) net time /domain ------ 判断主域,主域服务器都做时间服务器,直接ping就能得到主域ip net config workstation ------ 当前登录域 nslookup -type=SRV_ldap._tcp ------ 寻找域控主机net session ------ 查看当前会话 net use \\ip\ipc$ pawword /user:username ------ 建立IPC会话[空连接-***] net share ------ 查看SMB指向的路径[即共享]net view ------ 查询同一域内机器列表 net view \\ip ------ 查询某IP共享net view /domain ------ 查询域列表net view /domain:domainname ------ 查看workgroup域中计算机列表 net start ------ 查看当前运行的服务 net accounts ------ 查看本地密码策略 net accounts /domain ------ 查看域密码策略 nbtstat –A ip ------ netbios 查询 netstat –an/ano/anb ------ 网络连接查询 route print ------ 路由表tasklist /V ------ 查看进程[显示对应用户]tasklist /S ip /U domain\username /P /V ----- 查看远程计算机进程列表qprocess * ----- 类似tasklistqprocess /SERVER:IP ----- 远程查看计算机进程列表nslookup –qt-MX Yahoo.com ----- 查看邮件服务器whoami /all ----- 查询当前用户权限等set ----- 查看系统环境变量systeminfo ----- 查看系统信息qwinsta ----- 查看登录情况qwinsta /SERVER:IP ----- 查看远程登录情况fsutil fsinfo drives ----- 查看所有盘符gpupdate /force ----- 更新域策略
搜集如下:
whoami /priv# 或者 whoami /all
特权信息----------------------特权名 描述 状态=============================== ========================== ======SeIncreaseQuotaPrivilege 为进程调整内存配额 已禁用SeSecurityPrivilege 管理审核和安全日志 已禁用SeTakeOwnershipPrivilege 取得文件或其他对象的所有权 已禁用SeLoadDriverPrivilege 加载和卸载设备驱动程序 已禁用SeSystemProfilePrivilege 配置文件系统性能 已禁用SeSystemtimePrivilege 更改系统时间 已禁用SeProfileSingleProcessPrivilege 配置文件单个进程 已禁用SeIncreaseBasePriorityPrivilege 提高计划优先级 已禁用SeCreatePagefilePrivilege 创建一个页面文件 已禁用SeBackupPrivilege 备份文件和目录 已禁用SeRestorePrivilege 还原文件和目录 已禁用SeShutdownPrivilege 关闭系统 已禁用SeDebugPrivilege 调试程序 已启用SeSystemEnvironmentPrivilege 修改固件环境值 已禁用SeChangeNotifyPrivilege 绕过遍历检查 已启用SeRemoteShutdownPrivilege 从远程系统强制关机 已禁用SeUndockPrivilege 从扩展坞上取下计算机 已禁用SeManageVolumePrivilege 执行卷维护任务 已禁用SeImpersonatePrivilege 身份验证后模拟客户端 已启用SeCreateGlobalPrivilege 创建全局对象 已启用SeIncreaseWorkingSetPrivilege 增加进程工作集 已禁用SeTimeZonePrivilege 更改时区 已禁用SeCreateSymbolicLinkPrivilege 创建符号链接 已禁用
禁用 Administrator 账户(同时远程 it 人员也禁止用 Administrator 远程登录其他用户的电脑,避免抓取票据的攻击)
1:关闭 smbv1 兼容
2:定期修改 krbtgt 的超强壮密码 ,记住密码强度要高,长亭科技的大哥和我说他们内部秒破哈希已经过了 12 位密码
3:对域控的主机进行安全加固,原则是只打开需要的端口和服务
4:强制开启 smb 签名,2020 年开始后是默认启动的
5:不开启 spn 服务包括 exchange 和内网 sql server,尤其是 exchange 这个坑,qax 给的消息是 exchange 他们有很多 0day
6:域控主机关掉远程桌面服务或者使用堡垒机才能访问主机远程桌面(非常重要)
7:禁止 exe,bat 等可执行文件的落地,可以直接参看环境变量中的可执行文件后缀
8:文件服务器和文本文件夹不允许有 exe .bat .vbs .sh 类格式文件存在
9:应用程序只能在指定的文件路径里,或者白名单列表(参考现在的桌管中的安全策略)
10:每 30 天使用最新的 PingCastle(或者商业的域控和漏扫的集成产品)检查域控健康程度
防御 mimikatz 的攻击搜集地址:防御 mimikatz 的攻击 (http://woshub.com/defending-windows-domain-against-mimikatz-attacks/)
域控减少攻击面的规则:减少攻击面规则 (https://docs.microsoft.com/zh-cn/windows/security/threat-protection/microsoft-defender-atp/attack-surface-reduction)
作者:国产大熊猫,文章来源:https://my.oschina.net/9199771
一如既往的学习,一如既往的整理,一如即往的分享。感谢支持
“如侵权请私聊公众号删文”
扫描关注 LemonSec
觉得不错点个 “赞”、“在看” 哦****