【域渗透】批量 Net User Uname /domain

发表于 | 分类于 | 热度

域内批量执行 net user Uname /domain

0x00使用场景

在渗透测试中,需要查找域内某用户的机器所在,必须得确定目标人物所对应的域用户。
查找域用户对应的 Full Name 信息,从而确认目标任务对应的域用户。

0x01 代码

代码其实很简单,使用 C# 进行编写,可自行编译。

将所有域用户导入user.txt中(每个域用户一行),遍历文件中的用户,然后调用系统cmd命令执行net user Uname /domain,将运行结果进行输出,可根据自己需求进行二次修改(线程、正则、输出保存)。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
using System;
using System.IO;
using System.Text;
using System.Text.RegularExpressions;

namespace domain
{
    class Program
    {
        static void Main(string[] args)
        {
        	Console.WriteLine("Tools By RcoIl \r");
            string currentDirectory = Environment.CurrentDirectory;
            string text = currentDirectory + "\\user.txt"; // 文件绝对路径
            if (!File.Exists(text))
            {
                Console.WriteLine("File not found " + text); 
            }
            else
            {
                FileStream stream = new FileStream(text, FileMode.Open, FileAccess.Read); // 打开文本
                try
                {
                    StreamReader streamReader = new StreamReader(stream, Encoding.Default); // 实例化
                    try
                    {
                        while (!streamReader.EndOfStream) // 读取文本
                        {
                            string text2;
                            if ((text2 = streamReader.ReadLine()) != null && text2.Length != 0) 
                            {
                                string id = text2;
                                Program.Check(id);
                            }
                        }
                    }
                    finally
                    {
                        if (streamReader != null)
                        {
                            ((IDisposable)streamReader).Dispose();
                        }
                    }
                }
                finally
                {
                    if (stream != null)
                    {
                        ((IDisposable)stream).Dispose();
                    }
                }
                Console.WriteLine("============================================================");
                Console.WriteLine("Finish!");
                GC.Collect();
            }
        }

        public static void Check(string id)
        {
            System.Diagnostics.ProcessStartInfo proccessStartInfo = new System.Diagnostics.ProcessStartInfo("net", "user " + id + " /domain");
            proccessStartInfo.CreateNoWindow = true;
            System.Diagnostics.Process proc = new System.Diagnostics.Process { StartInfo = proccessStartInfo };

            proc.StartInfo.RedirectStandardOutput = true; // 由调用程序获取输出信息
            proc.StartInfo.UseShellExecute = false; // 是否使用操作系统shell启动
            proc.StartInfo.CreateNoWindow = true; // 不显示程序窗口
            proc.Start();  // 启动程序

            string outlist = proc.StandardOutput.ReadToEnd(); // 获取cmd窗口的输出信息

            Regex reg = new Regex(".*ame.*");
            MatchCollection result = reg.Matches(outlist);
            Console.WriteLine("============================================================");
            foreach (Match match in result)
            {
                Console.WriteLine(match);
            }
            proc.WaitForExit(); // 等待程序执行完退出进程
            proc.Close();
        }
    }
}

运行效果图:

0x02 改进 (20190418)

由于上面的代码略蠢,所以我决定将它进行改进。

  • 使用 System.DirectoryServices.ActiveDirectory 列举用户;
  • 使用 msvcrt.dll 执行系统命令;

1) powershell 列举用户列表

这份代码在网上已经很成熟了,可自行查阅。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
function DomainUserList
{

    # 获取当前 Domain 值
	$DomainObject =[System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain()
    $CurrentDomain = "LDAP://" + ([ADSI]"").distinguishedName

    $UserSearcher = New-Object System.DirectoryServices.DirectorySearcher([ADSI]$CurrentDomain)
    $DirEntry = New-Object System.DirectoryServices.DirectoryEntry
    $UserSearcher.SearchRoot = $DirEntry
    

    $lockoutThreshold = [int]$DirEntry.lockoutThreshold.Value
    Write-Host -ForegroundColor "yellow" "[*] 当前域的锁定阈值是 $($lockoutThreshold)."

    $minPwdLength = [int]$DirEntry.minPwdLength.Value
    Write-Host -ForegroundColor "yellow" "[*] 当前域的最小密码长度是 $($minPwdLength)."

	# 删除已禁用的用户列表
    if ($RemoveDisabled)
    {
        # 参考资料:http://jackstromberg.com/2013/01/useraccountcontrol-attributeflag-values/ 
        Write-Host -ForegroundColor "yellow" "[*] 从列表中删除已禁用的用户."
        $UserSearcher.filter = "(&(objectCategory=person)(objectClass=user)(!userAccountControl:1.2.840.113556.1.4.803:=16)(!userAccountControl:1.2.840.113556.1.4.803:=2))"
    }
    else
    {
        $UserSearcher.filter = "(&(objectCategory=person)(objectClass=user))"
    }
    
    # 在结果中抓取1000次
    $UserSearcher.PageSize = 100
    $AllUserObjects = $UserSearcher.FindAll()
    Write-Host -foregroundcolor "yellow" ("[*] 从当前 AD 域中成功收集了 " + $AllUserObjects.count + " 个用户")
    return $AllUserObjects.Properties.samaccountname
}
DomainUserList

将代码转换成C#代码,效果如下

3) 成品

其实还是有点麻瓜。

github: DomainUserList

0x03 总结

在域内使用dsquery查找的信息是有限的,所以需要相应的辅助工具,这个工具存在的意义就是人物与域用户之间的确认。

RcoIl Alipay
!坚持技术分享,您的支持将鼓励我继续创作!