定位域管理员

1 定位域管位置

定位域管理员，特权账户在域内哪些服务器或主机上登录过

获得了通用本地口令(Windows NT5.*系统)，定位特权用户以获取特权用户的登录凭证，从而获取域管理员权限

在 Vista 系统之后，可以作为定向攻击的信息探测

1.1 原理

通过 IPC 空连接、或低权限连接，调用系统 API，枚举目标系统中会话信息、登录历史记录、组信息及组成员信息

1.2 相关 API

• NetsessionEnum
• NetShareEnum
• NetWkstaUserEnum
• Active Diretory Service INterfaces [ADSI] Win NT provider

2 相关工具

• Netsess.exe
• Netview.exe
• Pslogon.exe
• PVEFindADUser.exe

2.1 netsess.exe

1. 首先进行 IPC 连接，否则返回拒绝连接，错误代码为 5
2. 运行 netsess.exe

2.2 nete.exe

下载地址

1

nets.exe \\192.168.8.205 /0

2.3 Powershell

组、组成员信息获取，ADSI 的 WinNT provider 支持，可以通过 Powershell 快速获取信息

• Get-NetLocalGroup
• Get-NetLocalGroupMember -Computername [win10x64en] -GroupName [administrators]

在管理员在制定组策略时，可以将当前登录的域用户加入到本地管理员组中

主机组策略存放在$ GPOPath\MACHINE\Microsoft\Windows NT\SecEdit\GptTmp1.inf 文件和 $GPOPath\MACHINE\Preferences\Groups\Groups.xml文件中。

在实验环境中，我们添加了一个名叫 LocalAdmin 的组策略，将 reduser 用户添加到登录主机的本地管理员组

PowerView 提供了类似的更为强大的功能，Get-DomainGPOLocalGroup 命令，枚举分析所有的组策略，可方便得出结果。

Get-DomainGPOLocalGroup 的原理是分析 GptTmp1.inf 文件中是否存在特权组的变动。