内网域渗透工具

推荐一内网域渗透工具：

1.工具目录：

2.使用方式：

1）NetLocalGroupGetMembers

功能：查询目标服务器本地管理组的成员

2）NetLocalGroupEnum

功能：返回指定服务器上的所有本地组

3）NetGroupGetUsers

功能：返回指定服务器指定组的所有成员

查询域里的各个组里的成员，IP必须是域控IP

4）NetUserEnum

功能：查询目标服务器所有用户，包括隐藏用户

5）wnetaddconnection2a

功能：建立IPC连接，可以将目标共享目录映射到本地磁盘

6）WNetCancelConnection2

功能：删除IPC连接

7）EnuDomainUser

功能：枚举域用户

· 介绍

适用于：当前边界机器权限是工作组机器，通过nltest或者nbtscan等工具发现内网有域环境，并且找到域控IP，但是没有域用户的权限下渗透思路。

前提条件：能够和域控建立空连接

实现原理：域管默认都会有administrator用户，通过windows api查出administrator域管的SID，然后遍历SID范围，枚举出域成员（域用户和域机器）。

SID范围：域用户和域机器的SID一般是1000以上，所以使用工具的时候遍历1000以上的SID

8）BlastDomainUserPwd

功能：爆破域用户密码

·介绍

通过IPC连接->爆破域用户的密码

结合EnuDomainUser工具或者kerbrute工具获取域用户名列表，然后进行爆破

如果被360杀，改一下exe名字即可

设计思路：

1. 如果能够和域控建立空连接，则用EnuDomainUser工具枚举遍历出所有域用户名
2. 如果不能够和域控建立空连接，则用kerbrute工具爆破域用户名

当获取到一批域用户名后，开始尝试域用户密码的弱口令爆破

域用户密码有强度要求，则尝试爆破强弱口令。例如：P@ssw0rd、1qaz@WSX等

域用户名字典格式规范：域名\域用户名

domain\user

运行实例： BlastDomainUserPwd.exe \\192.168.52.2 domainUser.txt 1qaz@WSX 3

成功爆破出的域用户密码保存在当前目录的success.txt文本里

9）SchtaskBackDoorWebshell

功能：计划任务维持webshell

· 适用场景：

护网中被防守方发现webshell，并清除出去，漏洞也被修复，然后网站恢复后不能再上传webshell时，通过计划任务重写webshell。

· 条件：

管理员权限，因为创建计划任务得需要管理员权限

· 使用方法：

xxxx.exe c:\wwww\upload\1.jsp

· 实现过程：

将c:\wwww\upload\1.jsp内容复制到c:\windows\temp\tempsh.txt里，然后创建了一个计划任务，执行的命令是c:\windows\system32\cmd.exe /c copy c:\windows\temp\tempsh.txt c:\wwww\upload\1.jsp，每半小时触发一次。

10）regeditBypassUAC

功能：过uac执行exe，编译好的exe只适用于win10，win7不行

项目下载地址：https://codeload.github.com/SkewwG/domainTools/zip/refs/heads/master