0X00 内容

• 基础信息获取与分析
• 组策略获取与分析
• 口令NTLM获取与分析
• 安全日志获取与分析

前两项内容，普通域用户权限即可；后两项内容则需要高权限用户才可以。

0X01 基础信息获取与分析

whoami
net user userName /domain
netstat -ano
net localgroup administrators       //查看本地管理员组成员
tasklist /v
systeminfo
quser
ipconfig /all
net view /domain
net group /domain
net user /domain
net group "domain users" /domain
net group "domain admins" /domain
net group "domain computers" /domain

//PowerSploit
Get-DomainGroup

//CSVDE.exe
csvde.exe -m -f out.csv

与csvde类似功能的还有工具ldifde。

关注的信息包括：最后登陆时间、口令修改时间等

0X02 组策略获取与分析

在DC上，组策略、登陆执行脚本存放的位置

\$DCServer\sysvol\domain\policies
\$DCServer\sysvol\domain\scripts

使用以下命令可以查看文件夹下的内容

net use \\MyDC
net view \\MyDC
dir \\MyDC\sysvol

分析组策略时，包括组策略的功能、作用域

我们可以使用一款工具：PolicyAnalyzer

0X03 口令NTLM获取与分析

mimikatz等

https://blog.csdn.net/prettyX/article/details/103672861

0X04 日志获取及分析

安全日志位置：

c:\Windows\System32\winevt\Logs\Security.evtx

可以使用PowerShell命令获取安全日志，但是一般安全日志较大，使用这种方法要注意。

获取到安全日志后，双击即可使用系统自带的分析工具进行查看。

其他日志分析工具：Log Parser、Log Parser Lizard

日志分析重点关注：高权限用户的登陆、特定账号的登陆、远程桌面登陆