前言

当我们与目标内网建立了socks5隧道后，就可以从域外对域内机器进行信息搜集了，很多工具不用上传到目标机器，也就不易被AV检测到，但是有可能会被一些流量检测设备发现有大量socks5流量。

接下来介绍下如何通过域外对域内进⾏更深的信息搜集：枚举域⽤户、查看域内⽤户、查看域内组、查看域内机器列表…

LDAP

LDAP(轻量⽬录访问协议)，是⼀种⽤来查询与更新 Active Directory 的⽬录服务通信协议。AD 域服务利⽤ LDAP 命名路径（LDAP naming path）来表示对象在 AD 内的位置，以便⽤它来访问 AD 内的对象，默认端⼝ 389。

LDAP 数据的组织方式

LDAP名称路径如下(借用师傅的图)：

标识名称（distinguished Name，DN）：它是对象在 Active Directory 内的完整路径，DN 有三个属性，分别

是 CN，OU，DC

• DC (Domain Component)：域名组件，例如test.lab中的test和lab
• CN (Common Name)&#