0X00 内容
- 基础信息获取与分析
- 组策略获取与分析
- 口令NTLM获取与分析
- 安全日志获取与分析
前两项内容,普通域用户权限即可;后两项内容则需要高权限用户才可以。
0X01 基础信息获取与分析
whoami
net user userName /domain
netstat -ano
net localgroup administrators //查看本地管理员组成员
tasklist /v
systeminfo
quser
ipconfig /all
net view /domain
net group /domain
net user /domain
net group "domain users" /domain
net group "domain admins" /domain
net group "domain computers" /domain
//PowerSploit
Get-DomainGroup
//CSVDE.exe
csvde.exe -m -f out.csv
与csvde类似功能的还有工具ldifde。
关注的信息包括:最后登陆时间、口令修改时间等
0X02 组策略获取与分析
在DC上,组策略、登陆执行脚本存放的位置
\$DCServer\sysvol\domain\policies
\$DCServer\sysvol\domain\scripts
使用以下命令可以查看文件夹下的内容
net use \\MyDC
net view \\MyDC
dir \\MyDC\sysvol
分析组策略时,包括组策略的功能、作用域
我们可以使用一款工具:PolicyAnalyzer
0X03 口令NTLM获取与分析
mimikatz等
https://blog.csdn.net/prettyX/article/details/103672861
0X04 日志获取及分析
安全日志位置:
c:\Windows\System32\winevt\Logs\Security.evtx
可以使用PowerShell命令获取安全日志,但是一般安全日志较大,使用这种方法要注意。
获取到安全日志后,双击即可使用系统自带的分析工具进行查看。
其他日志分析工具:Log Parser、Log Parser Lizard
日志分析重点关注:高权限用户的登陆、特定账号的登陆、远程桌面登陆