文章总结： 本文系统梳理AD渗透中获取初始域凭据的方法，重点介绍无凭据侦察技术。通过网络层扫描（ARP/Nmap）、SMB/LDAP空会话枚举、DNS区域传送等手段收集域信息，特别强调密码策略对密码喷洒攻击的关键作用。文档提供具体命令行工具使用示例，为红队行动提供可操作的技术路径。 综合评分： 85 文章分类： 渗透测试,内网渗透,红队,WEB安全,漏洞分析

01_初始立足点

原创

极客零零七 极客零零七

极客零零七

2026年4月1日 14:04 加拿大

极客零零七 · AD攻击系列 · 第1篇

AD渗透的起点往往是——你站在企业内网里，面前是一个你一无所知的AD域，手里什么凭据都没有。后续所有攻击技术（Kerberoasting、ACL滥用、横向移动、委派攻击……）都有一个共同前提：你至少有一个域用户凭据。

第一个域凭据从哪来？ 这是AD渗透中最关键、也最常被教程跳过的一步。本文系统梳理所有获取初始域凭据的方法，从零交互的网络层攻击到需要用户配合的社工手段。

一、无凭据侦察：先搞清楚面对的是什么

在没有任何凭据的情况下，你仍然可以收集大量信息。

网络层发现

• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8
• 9

## ARP扫描发现存活主机arp-scan -l
## Nmap扫描AD常见端口nmap -sV -p 53,88,135,139,389,445,636,3268,5985 10.10.10.0/24
## 端口88（Kerberos）开放 = 域控制器## 端口389（LDAP）开放 = 域控制器## 端口445（SMB）开放 = Windows机器

无认证信息泄露

• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8
• 9
• 10
• 11
• 12
• 13

## SMB空会话枚举（很多环境仍允许）enum4linux-ng -A 10.10.10.1crackmapexec smb 10.10.10.1 -u '' -p '' --sharescrackmapexec smb 10.10.10.1 -u 'Guest' -p '' --shares
## LDAP匿名绑定ldapsearch -H ldap://10.10.10.1 -x -b "DC=domain,DC=local" "(objectClass=user)" sAMAccountName
## RPC空会话rpcclient -U "" -N 10.10.10.1rpcclient $> enumdomusersrpcclient $> enumdomgroupsrpcclient $> getdompwinfo     # 密码策略！

密码策略是关键情报——它决定了密码喷洒的安全参数（锁定阈值、锁定窗口、最小密码长度）。

DNS枚举

• 1
• 2
• 3
• 4
• 5
• 6
• 7

## 区域传送（很少成功，但值得试）dig axfr domain.local @10.10.10.1
## 反向DNS查找，发现主机名dnsrecon -d domain.local -n 10.10.10.1 -r 10.10.10.0/24
## 通过主机名猜测功能：mail、vpn、rdp、sql、backup...

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：极客零零七 极客零零七 极客零零七《01_初始立足点》