說起內網定位，無論針對內網查詢資料還是針對特殊人物都是非常實用的一項技術。這裡把目前能夠利用的手段&工具都一一進行講解。

0x02 伺服器（機器）定位

收集域以及域內使用者資訊

• 收集域內域控制器資訊

• 收集域控上域使用者登入日誌資訊

• 收集域內所有使用者名稱以及全名、備註等資訊

• 收集域內工作組資訊

• 收集域管理員帳號資訊

• 收集域內網段劃分資訊

• 收集域內組織單位資訊

常用收集域資訊命令：

Ipconfig /all 
Tasklist /v 
Net use
net group /domain 獲得所有域使用者組列表
net group “domain admins” /domain 獲得域管理員列表
net group “enterprise admins” /domain 獲得企業管理員列表
net localgroup administrators /domain 獲取域內建administrators組使用者（enterprise admins、domain admins）
net group “domain controllers” /domain 獲得域控制器列表
net group “domain computers” /domain 獲得所有域成員計算機列表
net user /domain 獲得所有域使用者列表
net user someuser /domain 獲得指定賬戶someuser的詳細資訊
net accounts /domain 獲得域密碼策略設定，密碼長短，錯誤鎖定等資訊
nltest /domain_trusts 獲取域信任資訊

Net view

net view 看機器註釋或許能得到當前活動狀態的機器列表，tasklist可以得到當前機器跑著的域賬號。

結構分析

從計算機名獲取ipv4地址：

C:\Documents and Settings\Administrator\Desktop>ping -n 1 DC1 -4

Pinging DC1.centoso.com [192.168.206.100] with 32 bytes of data:

Reply from 192.168.206.100: bytes=32 time<1ms TTL=128

Ping statistics for 192.168.206.100:
 Packets: Sent = 1, Received = 1, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
 Minimum = 0ms, Maximum = 0ms, Average = 0ms
 

如果計算機名很多的時候，可以利用bat批量ping獲取ip：

)

最後可以把所有得到domain admins賬號再net user 下，為這些資訊按內容分別建立檔案進行分析。

例如：

• Users.txt 存放和使用者資訊有關的內容

• Group.txt 存放和分組資訊相關的內容

上述命令都是最基本的，也只能獲取到最基本的資訊。命令就不過多講解了。參考：

內網***常用命令：

https://wenku.baidu.com/view/b25fd9de5022aaea998f0ff4.html

資訊收集的姿勢：

• 人事組織結構圖

例如：

像這種人事組織結構圖，很多公司和企業的外部站點上就有。然後結合分析人事資料裡相關員工全稱與域內使用者名稱對應關係，就能很快定位到需要定位的人員使用的機器。

• 內部郵箱

如果你能進某個使用者內部郵箱，也可以從郵件頭提取有用的資訊。找尋跟目標使用者來往的郵件，仔細檢視郵件頭。“X-Originating-IP”頭經常會出現，這就可以讓你追蹤到目標IP。

• 工具

常用工具：Dsquery/Dsget，Ldifde，Csvde，Adexplorer，Adfind，wmi，powershell…

注：控制掃描的頻率和速度，可以大大降低觸發IDS的風險，針對windows機器，可以考慮用wmi指令碼和powershell指令碼進行掃描，低頻掃描可以很容易的繞過IDS的規則，同時可以考慮使用內網管理工具使用的相同協議進行掃描探測。Tips：

內網無工具掃描

一條 cmd 命令解決：

for /l %i in (1,1,255) do @ping 192.168.1.%i -w 1 -n 1 | find /i "ttl"

ping 整個 c 段，只輸出有響應的主機。

% H" g% Q+ _6 q- P7 t

更變態的：

4 o4 g8 X- v9 x& w

域機器對應 IP

FOR /F "eol=- tokens=1 delims=\ " %a IN ('net view') DO @(echo name: %a, ip: & ping %a -w 1 -n 1 | 
find /i "ttl" & echo.)

把 net view 的結果，挨個 ping 一遍，並輸出機器名和 ip 地址。

找主機名

for /l %i in (1,1,255) do @ping -a 10.0.1.%i -w 1 -n 1 | find /i "Pinging"

B 段查詢

for /l %i in (1,1,255) do @ping -a 10.0.%i.1 -w 1 -n 1 | find /i "Pinging"

Win7

for /l %i in (1,1,255) do @ping -a 10.0.1.%i -w 1 -n 1 | find /i "Pinging"
for /l %i in (1,1,255) do @ping -a 10.0.%i.1 -w 1 -n 1 | find /i "Pinging"

改成

for /l %i in (1,1,255) do @ping -a 10.0.1.%i -w 1 -n 1 | find /i "Ping"
for /l %i in (1,1,255) do @ping -a 10.0.%i.1 -w 1 -n 1 | find /i "Ping"

就可以相容 Win7 了。（Win7 ping -a 輸出結果關鍵詞為 “Ping”）

另外findstr /i “pinging” 或 findstr /i “ping” 可以換成 findstr “[” 的 可以適合多語言環境

0x03 檔案定位

結合伺服器定位總結出檔案定位的大致思路：

• 定位人力資源主管個人機

• 定位人力資源相關文件存放位置

• 從人力資源文件中找相關人

• 定位相關人的機器

• 監視相關人工作時存放文件的位置

• 列出存放文件伺服器的目錄

檔案定位需要注意的點：

• 產品名稱

• 內部名稱

• 專案負責人

• 專案團隊

• 生產部（分公司，工廠，代工廠）

經驗

1. FTP

2. SMB

3. DC\NETLOGON\

4. 產品管理系統（倉庫管理系統）

5. 各種資料庫

6. 其他伺服器（分公司，工廠，代工廠）

定位檔案伺服器請參考上一節定位伺服器（機器），定位到檔案伺服器和某個人，對於檔案定位來說應該會事半功倍。這裡就不過多敘述了。

參考：

後******的資訊收集：

http://www.mottoin.com/88117.html

0x04 管理員定位

工具

psloggedon.exe

系統自帶工具。通過檢驗登錄檔裡HKEY_USERS的key值來查詢誰登陸過機器，同樣也呼叫到了NetSessionEnum API。某些功能需要管理員許可權

netsess.exe

netsess.exe的原理也是呼叫NetSessionEnum API，並且在遠端主機上無需管理員許可權。

PVEFindADUser.exe

用於列舉域使用者以及登陸過特定系統的使用者，需要管理員許可權。工具描述：corelan

netview.exe

使用WinAPI列舉系統，利用 NetSessionEnum 來找尋登陸sessions, 利用NetShareEnum來找尋共享 , 利用 NetWkstaUserEnum 來列舉登陸的使用者。它也能查詢共享入口和有價值使用者，還能使用延遲和抖動。絕大部分功能不需要管理員許可權。

Nmap的Nse指令碼

如果你有域賬戶或者本地賬戶，你可以使用Nmap的smb-enum-sessions.nse 引擎來獲取遠端機器的登入session，並且不需要管理員許可權。

參考：

• nmap載入nse指令碼在內網***中的使用－上：

• http://www.mottoin.com/85401.html
  

• nmap載入nse指令碼在內網***中的使用－下：

• http://www.mottoin.com/85413.html
  

Smbexec&Veil-Pillage

然後Smbexec有個 checkda模組，它可以檢測域管程序和域管登陸。Veil-Pillage有它的 user_hunter 和group_hunter 模組，這兩個工具都需要管理員許可權。

hunter

hunter是一款利用 Windows API 呼叫來列舉跳板機上的使用者登入資訊的工具

Active Directory

你可以通過AD資訊來識別一些連線到伺服器的使用者

參考：

• http://www.harmj0y.net/blog/redteaming/trusts-you-might-have-missed/

• http://www.sixdub.net/2014/11/offensive-event-parsing-bringing-home-trophies/

PowerShell

上面也曾提到針對windows機器，可以考慮用wmi指令碼和powershell指令碼進行掃描，低頻掃描可以很容易的繞過IDS的規則。PowerShell有很多方法Windows Api並且繞過白名單。

參考：

• 通過PowerShell訪問Windows Api

• http://www.mottoin.com/89568.html
  

• @mattifestation 

• http://twitter.com/mattifestation
  

PowerView

PowerView 裡面有一些功能可以輔助找尋定位關鍵使用者。要找到目標對應的使用者時Get-UserProperties 將會提取所有使用者的屬性，並且Invoke-UserFieldSearch可以根據萬用字元來找尋特定使用者的相關屬性。這可以縮小目標搜尋範圍。比如說：我們使用這些功能來找Linux管理員組和其相關的成員，就可以追蹤和鍵盤記錄他們的putty/ssh會話。

Invoke-UserHunter 功能可以找到域內特定使用者群。它支援一個使用者名稱，使用者列表，或域組查詢，並支援一個主機列表或查詢可用的主機域名。它會使用 Get-NetSessions 和Get-N