（六）域内信息收集-工具使用

一，PowerShell概述
1、Windows PowerShell 是一种命令行外壳程序和脚本环境，使命令行用户和脚本编写者可以利
用 .NET Framework的强大功能。

2.0 win2008， win7
3.0 win2012，win8
4.0 win2012R2，win8.1
5.0 win2016，win10


2、查看PowerShell执行权限
powershell get-executionpolicy

• Restricted  无任何执行权限。
• Allsigned    只能执行有签名的脚本。
• Unrestricted   可执行任何PS脚本，是PS最大权限。
• Remotesigned  可执行本地PS脚本。
  
  

修改权限: 打开powershell窗口
set-executionpolicy + 对应权限

切换管理员后在执行


无法修改,可以尝试加参数绕过：-exec bypass 常用于ps命令执行绕过。
Powerview常用于ps和wmic对内网信息查询 ，它现在集成在powersploit


二，PS收集域内信息
1、powerview常用命令当powershell没有执行权限，可以使用-exec bypass来绕过
例如：

1. Powershell –exec bypass “import-module ./powerview.ps1;get-netuser”

复制代码

相关命令详解

Get-NetDomain	获取当前用户所在的域名称
Get-NetUser	返回所有即户详细信息
Get-NetDomainController	获取所有域控制器
Get-NetComputer	获取所有域内机器相信信息
Get-Netou	获取域中OU信息
Get-NetGroup	获取所有域内组和组成员信息
Get-NetFileServer	根据SPN获取当前域使用的文件服务器
Get-NetShare	获取当前域内所有网络共享
Get-NetSession	获取在指定服务器存在的Session信息
Get-NetRDPSession	获取在指定服务器存在的远程连接信息
Get-NetProcess	获职远程主机的进程信息
Get-UserEvent	获取指定用户日志信息
Get-ADObject	获取活动目录的对象信息
Get-NetGPO	获取域所有组策暗对象
Get-DomainPolicy	获取域默认或域控制器策略
Invoke-UserHunter	用于获取域用户登陆计其机及该用户是否有本地
管理权限
Invoke-ProcessHunter	查找域内所有机器进程用于找到某特定用户
Invoke-UserEventHunter	根据用户日志获取某域用户登陆过哪些域机器

获取当前用户所在的域名称

三，Bloodhound工具使用


1，工具下载地址：https://github.com/BloodHoundAD/BloodHound
2，使用方法，
进入bin目录，运行数据库neo4j：
cd bin
Neo4j.bat console

http://localhost:7474
浏览器登录数据库：
默认账号：neo4j 密码：neo4j
第一次登录，需要修改密码，如果密码忘记，请参考以下方式修改：
找到安装位置，删除凭证文件\neo4j-community-3.5.26\data\dbms
neo4j.bat restart 重启neo4j服务。
浏览器打开http://localhost:7474/browser/ 重新使用初始用户名/密码：neo4j 登录，进行密码重置，如设置新密码：bihuo.cn。


3，用处：
Ø 查找所有域管理员，
Ø 查找到达域管理员最短路径
Ø 查看指定用户与域关联的详细信息
Ø 查看指定计算机与域的关系
Ø 寻找路径


导出信息：BloodHound-master\Collectors\SharpHound.exe 传入目标机
执行命令获取信息：

1. SharpHound.exe –c all

复制代码

得到压缩包：


打开程序bloodHound.exe
程序位置：BloodHound-win32-x64\BloodHound.exe

把上面的压缩包拖进到这个程序界面里。


1、查找域管理员
2、寻找到达域管理员路径
3、查找具有dcsync权限的主体
4、具有外部域组成员身份
5、具有外域组成员


相关图标示意



如图：