文章来源：花指令安全实验室

net group "Domain Admins" /domain       //查询域管理员

// 更多PowerView命令参数Get-NetDomain: 获取当前用户所在域的名称Get-NetUser: 获取所有用户的详细信息Get-NetDomainController: 获取所有域控制器的信息Get-NetComputer: 获取域内所有机器的详细信息Get-NetOU: 获取域中的OU信息Get-NetGroup: 获取所有域内组和组成员信息Get-NetFileServer: 根据SPN获取当前域使用的文件服务器信息Get-NetShare: 获取当前域内所有网络共享信息Get-NetSession: 获取指定服务器的会话Get-NetRDPSession: 获取指定服务器的远程连接Get-NetProcess: 获取远程主机的进程Get-UserEvent: 获取指定用户的日志Get-ADObiect: 获取活动目录的对象Get-NetGPO: 获取域内所有的组策略对象Get-DomainPolicy: 获取域默认策略或域控制器策略Invoke-UserHunter: 获取域用户登录的计算机信息及该用户是否有本地管理员权限Invoke-ProcessHunter: 通过查询域内所有的机器进程找到特定用户Invoke-UserEvenHunter: 根据用户日志查询某域用户登录过哪些域机器。

powershell.exe -exec bypass -Command "& {Import-Module C:\Users\win7\Desktop\tool\PowerView.ps1; Invoke-UserEvenHunter}"

Get-DomainUser|?{$_.memberof -like "*Domain Admins*"}

https://docs.microsoft.com/en-us/sysinternals/downloads/psloggedon

PsLoggedon.exe Administrator  (指定用户)

PsLoggedon.exe \\AD-server  (指定机器名)

https://github.com/chrisdee/Tools/tree/master/AD/ADFindUsersLoggedOn

smb-enum-domains.nse对域控制器进行信息收集扫描，可以获取主机信息，用户，密码策略可以用的用户等smb-enum-users.nse在进行域渗透的时候，有了域内某台主机的权限，但是权限有限，不能获取更多的域用户信息的时候，可以借助这个脚本对域控制器进行扫描smb-enum-shares.nse遍历远程主机的共享目录smb-enum-processes.nse通过smb对主机的系统进程进行遍历，通过这些信息，可以知道目标主机上运行软件信息，选择合适的漏洞或者规避防火墙以及杀毒软件。smb-enum-sessions.nse通过smb获取域内主机的用户登录session，查看当前是否有用户登录，对于我们抓取用户hash以及避免同时登陆被用户发现。smb-os-discovery.nse通过smb协议来收集目标主机的操作系统，计算机名，域名，全称域名，域林名称，NetBIOS机器名，NetBIOS域名，工作组，系统时间。

net group "Domain controllers" /Domain     //查看域控制器

net time /domain

nltest /dclist:tubai.local

PS C:\Users\Anakin> nltest /dclist:tubai.localGet list of DCs in domain 'tubai.local' from '\\dc01.tubai.local'.    dc01.ADserver.local [PDC]  [DS] Site: Default-First-Site-Name    dc02.ADserver.local        [DS] Site: Default-First-Site-NameThe command completed successfully

nslookup -type=all ldap.tcp.dc._msdcs.tubai.com

$ nmap 192.168.100.2 -Pn -sV -p-Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower.Starting Nmap 7.91 ( https://nmap.org ) at 2021-05-04 11:17 CESTNmap scan report for 192.168.100.2Host is up (0.00068s latency).Not shown: 65509 filtered portsPORT      STATE SERVICE       VERSION42/tcp    open  tcpwrapped53/tcp    open  domain        Simple DNS Plus88/tcp    open  kerberos-sec  Microsoft Windows Kerberos (server time: 2021-05-04 09:19:44Z)135/tcp   open  msrpc         Microsoft Windows RPC139/tcp   open  netbios-ssn   Microsoft Windows netbios-ssn389/tcp   open  ldap          Microsoft Windows Active Directory LDAP (Domain: contoso.local0., Site: Default-First-Site-Name)445/tcp   open  microsoft-ds?464/tcp   open  kpasswd5?593/tcp   open  ncacn_http    Microsoft Windows RPC over HTTP 1.0636/tcp   open  tcpwrapped

setspn -T tubai.com -Q /

CN=AD-SERVER,OU=Domain Controllers,DC=tubai,DC=com

C:\Users\daniel10>nbtscan.exe 192.168.7.0/24192.168.7.1     \DP192.168.7.7     tubai\DC                     SHARING DC192.168.7.107   tubai\keke                SHARING*timeout (normal end of scan)