-ComputerName 指定远程计算机。默认值为本地计算机。 键入远程计算机的 NetBIOS 名称、Internet 协议 (IP) 地址或完全限定的域名。...此参数不依赖于 Windows PowerShell 远程处理。即使你的计算机未配置为运行远程命令,你也可以使用 Get-Hotfix 的 ComputerName 参数。 是否必需?...键入远程计算机的 NetBIOS 名称、Internet 协议 (IP) 地址或完全限定的域名。 此参数不依赖于 Windows PowerShell 远程处理。...即使你的计算机未配置为运行远程命令,你也可以使用 Get-Hotfix 的 ComputerName 参数。 是否必需? False 位置?...任务5: 可以使用括号而不要使用管道输入方法来获取域中每一台计算机上已经安装的服务清单。
通过本文,你可以 了解到WMI的基本架构和组件,包括WMI的数据库,WMI的provider,以及在PowerShell调用WMI的 时候提供的module和相关的命令。...通过 DMTF制定的标准,软件开发人员或者IT运维人员就可以使用同样的方法去获取到这一台服务 器它的品牌和型号,以及操作系统的类型和应用程序的信息。...在一些情况中,如果powershell本身提供的命令能 够去获取相应的信息,那也可以使用powershell的方式来完成相应的操作,但是如果powershell对 某些操作没有相关的命令支持,这时便可以通过...True 管理计算机(域)的内置帐户 DefaultAccount False 系统管理的用户帐户。...Guest False 供来宾访问计算机或访问域的内置帐户 WDAGUtilityAccount False 系统为 Windows Defender 应用程序防护方案管理和使用的用户帐户。
获取对象的过程中,最好先筛选出对象,再进行操作。...的服务执行增加启动密码的效果 首先获取针对WMIObject win32服务的所有成员方法和属性,发现里头有Change这么一个方法 其次筛选change方法,并显示其可定义的参数 最后使用foreach...calc | dir 传递进来的属性名称必须与接收命令的参数名称相匹配 通过别名来使对象的属性「Name」保持一致 自定制属性: 例子1、获取adcomputer的Name属性,转换为可被其他命令接受的....name}} name可以缩写为n,expression可以缩写为e 接下来可以用get-service来查看这些AD里的计算机bits服务的运行状态 get-adcomputer -Filter...使用括号自定制参数 例子1、 ? 例子2、获取AD里所有计算机的bios信息 -ExpandProperty 指定要选择的属性,并指示应当尝试展开该属性。
MITRE在其工具和技术中涵盖了Bloodhound和域枚举。...Bloodhound 使用称为 SharpHound 的收集器,通过运行大量 LDAP 查询来收集 Active Directory 中的信息来收集各种数据。...image.png 现在,攻击者使用从 Active Directory(使用 SharpHound)收集的信息来理解 AD 数据并对其进行分析以了解目标组织的 AD 结构,并找出各种有趣的事实和快捷路径以访问域管理员和不同主机上的用户权限等...我们还将在对象的公共属性中添加详细信息,如下所示: 在描述中添加详细信息,诱饵用户对象的组织属性 在计算机帐户的操作系统名称、版本和 DNS 名称属性中添加详细信息 如果是群组,请确保添加群组信息、添加成员并使其看起来合法...因为攻击者通常在 LDAP 查询中搜索 *Admin* 以枚举高权限帐户 在重要的受保护以及域管理员中创建诱饵 创建诱饵网络共享并启用审计 将用户和计算机放在不同的 OU 中 创建计算机对象作为诱饵并分配不受约束的委派
关于Uncover Uncover是一款功能强大的主机安全检测工具,该工具本质上是一个Go封装器,并且使用了多个著名搜索引擎的API来帮助广大研究人员快速识别和发现暴露在外网中的主机或服务器。...该工具能够自动化完成工作流,因此我们可以直接使用该工具所生成的扫描结果并将其集成到自己的管道工具中。...当前版本的Uncover支持Shodan、Shodan-InternetDB、Censys和Fofa搜索引擎API。...功能介绍 1、简单、易用且功能强大的功能,轻松查询多个搜索引擎; 2、支持多种搜索引擎,其中包括但不限于Shodan、Shodan-InternetDB、Censys和Fofa等; 3、自动实现密钥/...API(Shodan、Censys、Fofa) Uncover支持使用多个搜索引擎,默认使用的是Shodan,我们还可以使用“engine”参数来指定使用其他搜索引擎: echo jira | uncover
pass the hash攻击,除去常见的使用本地管理员账户进行hash传递外,还可以使用机器账户进行提权。...如果在主机上授予了本地管理员访问权限,并且计算机本身为Domain admins组的成员,那我们在进行渗透测试时,可以利用该计算机账户进行提权。以机器账户来使用hash传递来进行提权。...模块查找可用计算机账户 利用Powershell中的Active Directory模块来识别当前计算机所在组 Get-ADComputer -Filter * -Properties MemberOf...{$_.MemberOf} 不过很遗憾,我在普通权限下的域主机中,未能通过此命令查找到任何可用计算机账户,即使我已经在前一步将本机的计算机账户添加进高权限组内也未能查找到任何有效信息,唯有在域控机下才查找到了结果...但很显然,在域管机器下可查找在当前我们所需要的条件下根本就不现实,因此我们可以选择另一个方法进行信息收集,查找可用主机账户进行提权。
委派介绍 Kerberos委派使服务能够模拟计算机或用户以便使用用户的特权和权限参与第二个服务,为什么委派是必要的经典例证呢,例如:当用户使用Kerberos或其他协议向web服务器进行身份验证时,服务器希望与...,该服务器将提取用户的TGT并将其缓存在其内存中以备后用,这意味着服务器可以冒充该用户访问域中的任何资源 在计算机帐户上,管理员可以为不受限制的委派设置以下属性 AD用户和计算机->计算机->信任此计算机来委派任何服务...无约束委托的主要特征是: 通常该权限授予运行IIS和MSSQL等服务的计算机,因为这些计算机通常需要一些到其他资源的后端连接 当被授予委派权限时这些计算机会请求用户的TGT并将它们存储在缓存中 这个...TGT可以代表经过身份验证的用户访问后端资源 代理系统可以使用这个TGT请求访问域中的任何资源 攻击者可以通过使用用户委派TGT请求任何域服务(SPN)的TGS来滥用不受限制的委派 TGT提取...,这可以通过使用PowerShell和AD模块来实现 Get-ADComputer -Filter {TrustedForDelegation -eq $true} -Properties trustedfordelegation
这两个机构还给出了事件处理建议:所有安装VMware系统的机构都应该在假设自己已经被入侵前提下,在各自的网络环境中寻找攻击者恶意活动,同时还给出了IOCs及TTPs帮助安全人员进行应急处理和溯源分析。...随后,攻击者在VDI-KMS服务器上执行Mimikatz程序获取服务器的账号凭证,同时创建了一个仿冒的域管理员账户。使用这个新创建的域管账号,攻击者通过RDP登录的方式,内网横向了很多主机权限。...一旦攻击者在内网环境中建立了一个较深的据点并横向移动到了域控服务器,他们会执行如下Powershell命令在活动目录上,获取域内所有计算机列表: Powershell.exe get-adcomputer...我曾经研究过伊朗APT35组织的工具,发现他们特别喜欢使用Powershell,放置挖矿程序是为了扰乱正确的溯源方向。 2. 上述行为可以看到,APT组织在内网横向过程中,特别注意权限维持。...在对一个目标的APT实战攻击过程中,APT组织会使用大量的跳板机IP及代理域名,这样可以给应急响应及溯源分析工作增加难度,毕竟没法保证所有的反向连接行为都被阻断掉,当然这也是需要充足的资金支撑。
通过S4U攻击获取以域管理员身份访问当前计算机HTTP和WSMAN服务的服务票据: ? ? ? 清空当前域用户的所有票据: ?...那么为什么域管理员在当前计算机的PSSession中无法使用Kerberos协议进行与域控制器进行认证呢?...本例中我们便是使用Kerberos身份连接主机进行Powershell远程管理,而又希望以当前在Powershell上的身份与域控进行认证连接以便获得实质上的域管理员权限。...为了弄清楚连接后拒绝访问的原因,我们必须先明白Powershell是在会话中是如何工作的。 在PSSession中,Powershell是通过委派用户凭证的方式让用户在远程计算机上执行任务的。...Powershell Remoting通过委派用户凭证的方式使用户在远程计算机上执行任务,本质上却是远程计算机模拟用户进行操作,如果该计算机并没有被配置委派,登录到Powershell会话中的用户无则法再次使用自己凭证请求访问其他远程计算机
大体意思就是这个漏洞可以让攻击者去攻击“受保护组“、或设置了“敏感用户,禁止委派”的用户。或者去攻击设置了“仅信任该计算机来委派指定的服务-->仅使用kerberos”的机器。...大体的攻击思路如下: 1、攻击者已经获取了域内的某台机器的权限。 2、拥有域内服务的hash,称为service1。...4、攻击者利用该漏洞去获取到service2的kerberos票据 5、攻击者利用票据去攻击service2 漏洞原理: 在之前的利用方法中,假如我们已经拥有了一个service1的hash,想要去获取...然后我们需要获取server1的机器账户的AES256-CTS-HMAC-SHA1-96 和 LM:NTLM hash ,在作者的复现过程中使用的是secretsdump.py来操作的,也就是下面这样:...然后 Install-WindowsFeature RSAT-AD-PowerShell Import-Module ActiveDirectory Get-ADComputer AttackerService
这不需要Elad Shamir和Will Schroeder所述的域管理员特权。 Service1配置为执行对Service2的约束委派。...这模拟在环境中立足(攻击路径中的步骤1 )。启动PowerShell会话,并确认User1和Service1当前无法在其自己的授权下访问Service2。...当我们直接向立足用户授予权限时,用户通常将通过特权组的成员身份获得对一个或多个AD对象的写权限。用户不一定需要是域管理员。 ? 执行攻击 退出域控制器,并以User1身份登录Service1服务器。...我们需要与Service2建立新的委派关系,这是一次全新的服务。 要在环境中的新服务,我们将使用凯文·罗伯逊的Powermad创建一个新的计算机帐户。...让我们使用PowerShell Active Directory模块检查我们新创建的机器帐户。由于该模块尚不可用,因此我们将安装相应的功能,导入该模块,然后检查我们新创建的计算机帐户。
基于以上缺点,当计算机数量比较多,大型企业网络规模大,需要统一的管理和集中的身份验证,并且能够给用户提供方便的搜索和使用网络资源的方式,工作组的组织形式就不合适了,于是域就出现了。...父域与子域 在一个域树中,父域可以包含很多子域。而子域是相对父域来说的,指域名中的每一个段。子域只能使用父域作为域名的后缀。也就是说在一个域树中,域的名字是连续的。...由一个或多个没有形成连续名称空间的域树组成,林中每个域树都有唯一的名称空间,之间不连续。 可以通过域树之间建立的信任关系来管理和使用整个域林中的资源,从而又保持了原有域自身的特性。...通常域都只有一个,在中型或大型的网络中,网域可能会有很多个,或是和其他公司或组织的 AD 相互链接。AD 基于 LDAP。安装了 AD 的服务器称为 DC 域控制器。...) Empire(一款内网渗透测试利器) ps_encoder.py(使用Base64编码封装的Powershell命令包) smbexec(一个使用samba工具的快速psExec工具) 后门制造工厂
###利用 ICMP 协议快速探测内网 除了利用NetBIOS协议,还可以使用 ICMP 协议。依次对内网中的每个 IP 地址执行 ping 命 令,可以快速有效地找出内网中所有存活的主机。...在使用者计算机上使用Telnet程序,可以连接到目标服务器。如果只是想快速地探测某主机的某个常规高危端口是否开放,Telnet 命令是最方便的。Telnet命令的简单使用实例,如下图所示: ?...-:显示支持的选项和用于输出值的单位。 -l:仅显示本地登录,不显示本地和网络资源登录。 -x:不显示登录时间。 \computername:指定要列出登录信息的计算机的名称。...Username:指定用户名,在网络中搜索该用户登录的计算机。...PS:其他的就不再赘述和演示了,有兴趣的可以自我使用看看~ 八、利用PowerShell收集域信息 PowerShell是微软推出的一款用于提高管理员对操作系统及应用程序易用性和扩展性的脚本环境,可以说是
前言 机器账户在许多技术中可以用于提权或横向移动,如使用机器账户的委派进行dcsync,使用机器账户也可进行维权操作。...我们可以使用Powermad等工具从加入域和未加入域的主机中进行添加账户操作。...primarygroupid经过查询可知是515,他是域组的RID,表示这是一台域计算机,利用Active-Module模块,使用域管权限账户为计算机账户Nayon修改userAccountControl....dll在Powershell利用import-module 进行安装使用]: 此处为执行效果。...使用Impacket套件中的secretsdump.py脚本,结合域内机器账户的凭证拖取域内hash python3 secretsdump.py attack.local/Nayon\$:'Password
“Enterprise Admins” /domain 3.快速定位域管理员 内网渗透的目标是拿到某台特定的用户或计算机的权限,进而拿到特定的数据。...在PowerShell中,常用的工具是PowerView。...psloggedon.exe 在Windows平台上使用psloggedon.exe,可以查看本地登录的用户和通过本地计算机或远程计算机资源登录的用户,原理是通过检查注册表的HKEY USERS项的key...netview.exe 参数 常见参数 -h 查看帮助信息 -d 从当前域中提取主机列表 -d domian 指定提取主机列表的域 -g 在Domain admins组中搜索组名 -g group 指定搜索组名...优先使用 其他 Get-NetDomain: 获取当前用户所在域的名称 Get-NetUser: 获取所有用户的详细信息 Get-NetDomainController: 获取所有域控制器的信息 Get-NetComputer
分析文件 在HelpDesk有几个文件,都是关于 LAPS 的: 本地管理员密码解决方案 (LAPS) 是一种通过域管理本地管理员帐户密码的方法。...获取user.txt 使用net use 查看用户权限。 使用whmai /priv 查看用户所属的组。 检查PowerShell历史文件 查看PowerShell 历史文件。...这个在应急响应中,检查windows主机,可以查看一下这个目录。...使用 LAPS,DC 管理域中计算机的本地管理员密码。通常创建一组用户并授予他们读取这些密码的权限,从而允许受信任的管理员访问所有本地管理员密码。...读取密码 要读取 LAPS 密码,我只需要使用Get-ADComputer并专门请求该ms-mcs-admpwd属性 使用Get-ADComputerDC01-property'ms-mcs-admpwd
委派的权限授予给了拥有资源的后端(B),而不再是前端(A) 约束性委派不能跨域进行委派,基于资源的约束性委派可以跨域和林 不再需要域管理员权限设置委派,只需拥有在计算机对象上编辑”msD S-AllowedToActOnBehalfOfOtherIdentity...”属性的权限,也就是将计算机加入域的域用户 和 机器自身 拥有权限。...查找域内⾮约束委派⽤户和计算机 使用Adfind 下载地址:Download AdFind 1.56.00 (softpedia.com) 常用命令: AdFind [switches] [-b basedn...(只显示名称和操作系统): AdFind -sc computers_active name operatingSystem 查询当前域中所有计算机: AdFind -f "objectcategory...=computer" 查询当前域中所有计算机(只显示名称和操作系统): AdFind -f "objectcategory=computer" name operatingSystem 查询域内所有用户
PowerShell 窗口文件或目录相关cd显示当前目录的名称,或更改当前目录# cd [] 指定要显示或更改的目录的路径cd d:dir显示目录的文件和子目录的列表,相当于 linux.../IP (IP) 连接,可使用此命令测试计算机名称和计算机的 IP 地址。...,可以用这两个命令来查看和操作path在 PATH 环境变量中设置命令路径,指定用于搜索可执行文件 (.exe) 目录集。...# 返回对当前登录用户可用的应用程序所使用的默认临时目录%TEMP%%TMP%# 返回包含用户帐户的域的名称%USERDOMAIN%# 返回当前登录的用户的名称%USERNAME%# 返回当前日期%DATE...%# 返回当前时间%TIME%在 cmd 命令中,按键盘的向上箭头可以快速切换历史前后命令,敲 Tab 可自动补全路径
拥有了可以修改计算机账户属性的帐号外,我们还需要一个SPN账户,这是因为S4U2Proxy在代替用户请求服务时,是根据Kerberos协议进行利用的,而SPN(服务主体名称)又是Kerberos客户端用于唯一标识给特定...Kerberos目标计算机的服务实例名称。...在域当中,域用户默认在域内可创建的计算机账户数为10,而我们所创建的计算机账户,又默认注册在RestrictedKrbHost/domain、HOST/domain这两个SPN之下,此处我们正好可以进行利用...使用Powermad注册计算机用户 win2035 New-MachineAccount -MachineAccount WIN2035 setspn -q */* | findstr "win2035...: 若我们所打下来的域内主机不存在此模块,可通过上传dll powershell安装导入本模块进行利用 Import-Module .
使用命令格式: nbtscan.exe 10.10.10.0/20 ? 第一列为IP地址,第二列为机器名和所在域的名称,第三列是机器所开启的服务列表。...如果指定的是用户名而不是计算机名,psloggedon.exe会搜索网上邻居中的计算机,并显示该用户当前是否登录。...使用语法: -:显示支持的选项和用于输出值的单位。 -l:仅显示本地登录,不显示本地和网络资源登录。 -x:不显示登录时间。 \\computername:指定要列出登录信息的计算机的名称。...Username:指定用户名,在网络中搜索该用户登录的计算机。 ?...2.4:交叉引用域管理员列表与活动会话列表 对域管理员列表和活动会话列表进行交叉引用,可以确定哪些IP地址有活动域令牌。也可以通过下列脚本快速使用netsess.exe的Windows命令行。
领取专属 10元无门槛券
手把手带您无忧上云