AD域 通过日志分析可确定目标IP，进一步精确打击。偷渡者

这样导出日志分析的，可以快速定位目标，而且产生的日志比较小，基本不用考虑日志问题。在今天跟anubis_zcl的讨论中还理解到一些新的东西。明天再补充。 一、获取域内信息   1、列出该域内所有机器名(dsquery computer domainroot -limit 65535 && net group “domain computers” /domain) 2、列出该域内所有用户名(dsquery user domainroot -limit 65535 && net user /domain) 3、列出该域内网段划分 (dsquery subnet) 4、列出该域内分组 (dsquery group && net group /domain) 5、列出该域内组织单位 (dsquery ou) 6、列出该域内域控制器 (dsquery server && net time /domain） 7、列出域管理员帐号 (net group “domain admins” /domain）   二、分析域内信息确定目标   通过上述收集到的信息，我们可以分析出很多重要信息例如：每个分组下面都有哪些用户、机器（net group 组名 /domain && dsquery   “ou信息”）文件服务器，邮件服务器以及目标所在位置等。   三、域内渗透   1、抓取hash破解密码 (gsecdump、wce、pwdump7、gethash等) 2、hash 注入 （wce -s） 3、读取lsa明文密码 （wce1.3 -w 、 gsecdump -a） 4、0day溢出（smb、rdp、dns、rpc 等） 5、安装gina 记录管理员帐号密码 6、hd 扫描弱口令等   通过以上方法获取域控制器权限   四、确定目标IP   1、确定目标用户登录日期 (net user aa /domain) 2、导出该日期域控制器登录日志 (cscript eventquery.vbs /fi “Datetime eq 06/25/2012,03:15:00AM/06/25/2012,03:15:00PM”   /l Security >c:\xxx.txt)   3、导出DHCP配置(netsh dhcp)   通过日志分析可确定目标IP，进一步精确打击。  

标签：domain,group,AD,IP,偷渡者,dsquery,该域,net,日志
来源： https://www.cnblogs.com/hoiart/p/11432708.html