(1)、本机检查
l 获取域管理员列表
net group "domain admins" /domain
(administrator,tom)
l 查看本机所有进程
Tasklist /v
l 交叉(当前域有多少个管理员,本机所有进程有那些是域管理员运行的)域管理员进程,然后模拟域
管理进程从而获取域管理员权限。
(2)、查询域控制器的域用户会话
1、收集域控制器的列表
net group "domain controllers" /domain
2、收集域管理员的列表
net group "domain admins" /domain
(看上面)
3、使用netsess.exe查询每个域控制器,收集所有活动域会话的列表。
netsess.exe –h(查询主机会话)
netsess.exe -h WIN-H3JTMAFUD6A
复制代码
其他机器登录之后
4、将域管理员列表与活动会话列表交叉引用,以确定哪些ip地址具有活动域令牌
FOR /F %i in (dcs.txt) do @echo [+] Querying DC %i && @netsess -h %i 2>nul >sessions.txt && FOR /F %a in (admins.txt) DO @type sessions.txt | @findstr /I %a
复制代码
(注:经测试,此方法无效果,如果有效果请留言)
四,扫描远程系统上的运行的任务 1,收集域管理员的列表 net group "domain admins" /domain 将收集到的每个用户名写入names.txt 探测存活主机 使用nbtscan.exe <IP段>或其他方法收集,将收集到的ip地址写入ips.txt
nbtscan.exe 192.168.159.0/24 > ips.txt
复制代码
FOR /F %i in (ips.txt) DO @echo [+] %i && @tasklist /V /S %i /U tom /P ctf8.com 2>NUL > output.txt && FOR /F %n in (names.txt) DO @type output.txt | findstr %n > NUL && echo [!] %n was found running a process on %i && pause
复制代码
(注意:需要知道一个账号密码才行)
五、扫描远程系统上的NetBios信息,在一些 Windows 系统中,允许用户通过 NetBIOS 查询已登录用户。
收集域管理员的列表,
net group "domain admins" /domain,将收集到的每个用户名写入admins.txt
for /F %i in (ips.txt) do @echo [+] Checking %i && nbtstat -A %i 2>NUL>nbsessions.txt && FOR /F %n in (admins.txt) DO @type nbsessions.txt | findstr /I %n >NUL && echo [!] %n was found logged into %i
复制代码
效果如下图:
使用nbtscan工具,将文件与该工具置于同一目录下
for /F %i in (ips.txt) do @echo [+] Checking %i && nbtscan -f %i 2>NUL>nbsessions.txt && FOR /F %n in (admins.txt) DO @type nbsessions.txt | findstr /I %n > NUL && echo [!] %n was found logged into %i
发表于 2025-9-7 23:37:30
