域渗透之定位个人用户

即使获得域管理员权限也不是内网渗透的终点，我们往往需要找到特定用户的机器，获取特定的资源。可以使用以下两种方式在高权限时定位特定域用户，方法一是所有通过登录日志定位，因为域用户登录机器需要在域控制器进行身份验证，并且每次身份验证是连接域内随机的一台域控制器。所以需要在所有域控制器的安全日志中查找指定用户登录过哪些主机。方法二是通过下发组策略，在域内所有机器执行quser命令并写入域控制器sysvol目录。

（1）查询域控登录成功日志定位个人PC

在Windows日志中，ID 4624表示成功登录事件，主要用来筛选该系统的用户登录成功情况。在域控里记录了域内所有机器和用户的登录情况，并记录了对应的IP，通过筛选该事件ID日志可以帮助我们定位在域内对应的个人PC，我们可以通过使用SharpEventLog来定位域内个人PC，具体实验环境如表1-1所示。

表1-1实验环境

首先，使用TEST1用户登录到win10机器中，如图1-1所示。

图1-1使用TEST1登录到windows10机器中

通过执行ifconfig命令来查看windows10机器的主机名和IP地址，如图1-2所示，后续与域控机器中的日志进行对比。

图1-2通过执行ifconfig命令来查看主机名及IP地址

随后，在域控制器的事件查看器中查找ID 4624的事件，如图1-3所示，可以看到windows10机器所登录的日志记录。

图1-3 windows10机器所登录的日志记录

接着，使用SharpEventLog对特定账户定位，如图1-4所示，可以看到用户TEST1登录过IP为192.168.23.174的机器

图1-4通过SharpEventLog筛选查询域控日志

最后，通过在域控日志中筛选出Windows10机器的登录日志，并且根据对应的IP地址找到其主机名为PC1，如图1-5所示，从而实现精准定位域内的个人PC。

图1-5通过筛选日志精准定位域内的个人PC

（2）通过组策略定位个人PC

当我们在windows机器上执行query user”命令时，系统会为我们呈现当前机器上存在哪些用户的会话。利用以上特性，可以通过下发组策略，设置对应的计划任务。计划任务的内容为将”query user”命令的输出，并以每个机器的机器名为文件名创建文本，写入到域控制器的sysvol目录下，从而方便我们在内网渗透中定位个人PC。

1）首先，通过执行Import-Module GroupPolicy;new-gpo -name QueryDomainUser命令来创建一个名为QueryDomainUser003的组策略，如图1-6所示。

图1-6通过命令创建名为QueryDomainUser003的组策略

2）在拥有域管理员权限下通过执行Import-Module GroupPolicy new-gplink -name QueryDomainUser003 -Target "dc=tets,dc=com"命令将GPO链接到域TEST.com，具体执行操作如图1-7所示。

图1-7 将GPO链接到域TEST.com

3）在命令终端中执行icacls c:\windows\sysvol\ /grant Everyone:(OI)(CI)(F) /T"命令来修改sysvol文件夹的权限，使任意用户能往里写文件，如图1-8所示。

图1-8 修改sysvol文件夹的权限

4）通过执行SharpGPOAbuse.exe --AddComputerTask --TaskName "QueryDomainUser003" --Author test\\administrator --Command "cmd.exe" --Arguments "/c query user > \\WIN-EAMMFCNN8TJ\sysvol\%COMPUTERNAME%.txt" --GPOName "QueryDomainUser003"命令添加定时任务，并指定我们刚才创建的组策略，执行结果如图1-9所示。

图1-9 添加定时任务并执行创建的组策略

5）执行完上述操作后，查看组策略中添加的定时任务执行内容，如图1-10所示

图1-10查看添加的组策略内容

6）当组策略自动更新成功时会执行上述操作，或者我们可以使用“gpupdate /force”强制执行，此时域内每台Windows机器会执行query user”，然后将结果输出到域控制器的sysvol目录。我们能从中查找对应的机器正在被哪个用户登录，达到定位个人PC的效果如图1-11所示。

图1-11 定位个人PC结果

我正在参与2024腾讯技术创作特训营第五期有奖征文，快来和我瓜分大奖！