定位域管理员
1 定位域管位置
定位域管理员,特权账户在域内哪些服务器或主机上登录过。
获得了通用本地口令 (Windows NT5.*系统),定位特权用户以获取特权用户的登录凭证,从而获取域管理员权限。
在 Vista 系统之后,可以作为定向攻击的信息探测。
1.1 原理
通过 IPC 空连接、或低权限连接,调用系统 API,枚举目标系统中会话信息、登录历史记录、组信息及组成员信息。
1.2 相关 API
- NetsessionEnum
- NetShareEnum
- NetWkstaUserEnum
- Active Diretory Service INterfaces [ADSI] Win NT provider
2 相关工具
- Netsess.exe
- Netview.exe
- Pslogon.exe
- PVEFindADUser.exe
2.1 netsess.exe
- 首先进行 IPC 连接,否则返回拒绝连接,错误代码为 5
- 运行 netsess.exe
2.2 nete.exe
nets.exe \\192.168.8.205 /0
2.3 Powershell
组、组成员信息获取,ADSI 的 WinNT provider 支持,可以通过 Powershell 快速获取信息
- Get-NetLocalGroup
- Get-NetLocalGroupMember -Computername [win10x64en] -GroupName [administrators]
在管理员在制定组策略时,可以将当前登录的域用户加入到本地管理员组中
主机组策略存放在 $ GPOPath\MACHINE\Microsoft\Windows NT\SecEdit\GptTmp1.inf 文件和 $GPOPath\MACHINE\Preferences\Groups\Groups.xml 文件中。
在实验环境中,我们添加了一个名叫 LocalAdmin 的组策略,将 reduser 用户添加到登录主机的本地管理员组
PowerView 提供了类似的更为强大的功能,Get-DomainGPOLocalGroup 命令,枚举分析所有的组策略,可方便得出结果。
Get-DomainGPOLocalGroup 的原理是分析 GptTmp1.inf 文件中是否存在特权组的变动。
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论