首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

Powershell上次登录查询。帮助将阵列设置为遍历我的所有域控制器

Powershell是一种跨平台的脚本语言和命令行工具,广泛应用于Windows系统管理和自动化任务。它具有强大的脚本编写和执行能力,可以方便地进行系统配置、管理和监控。

上次登录查询是指通过Powershell脚本查询用户在域控制器上的最近一次登录时间。这对于系统管理员来说是非常有用的,可以帮助他们了解用户的登录情况,及时发现异常登录行为。

以下是一个示例的Powershell脚本,用于查询指定用户在所有域控制器上的上次登录时间:

代码语言:txt
复制
$domainControllers = Get-ADDomainController -Filter *  # 获取所有域控制器

$lastLogon = @{}  # 创建一个空的哈希表,用于存储每个域控制器上的上次登录时间

foreach ($dc in $domainControllers) {
    $dcName = $dc.Name
    $lastLogon[$dcName] = (Get-ADUser -Identity "用户名" -Server $dcName -Properties LastLogon).LastLogon
}

$lastLogon  # 输出每个域控制器上的上次登录时间

在上述脚本中,我们首先使用Get-ADDomainController命令获取所有域控制器的信息,并将其存储在$domainControllers变量中。然后,我们创建一个空的哈希表$lastLogon,用于存储每个域控制器上的上次登录时间。

接下来,我们使用foreach循环遍历每个域控制器,并通过Get-ADUser命令查询指定用户的上次登录时间。其中,-Identity参数用于指定用户名,-Server参数用于指定域控制器。

最后,我们将每个域控制器上的上次登录时间存储在$lastLogon哈希表中,并通过输出$lastLogon变量来显示结果。

需要注意的是,上述示例中的"用户名"需要替换为实际的用户名。

推荐的腾讯云相关产品:腾讯云服务器(CVM)和腾讯云域名服务(DNSPod)。腾讯云服务器提供了高性能、可扩展的云服务器实例,可用于部署和运行Powershell脚本。腾讯云域名服务提供了稳定可靠的域名解析服务,可用于配置域名解析到腾讯云服务器。

腾讯云服务器产品介绍链接地址:https://cloud.tencent.com/product/cvm 腾讯云域名服务产品介绍链接地址:https://cloud.tencent.com/product/dnspod

页面内容是否对你有帮助?
有帮助
没帮助

相关·内容

《内网安全攻防》学习笔记,第二章-域内信息收集

-u:检查是否有更新版本实用程序。 -current [''username'']:如果仅指定了-current 参数,获取所有目标计算机上当前登录所有用户。...如果指定了用户名(DOMAIN\Username),则显示具有此用户账户作为上次登录计算机。根据网络策略,可能会隐藏最后一个登录用户名,且该工具可能无法得到该用户名。... -noping:阻止该工具在尝试获取用户登录信息之前对目标计算机执行 ping 命令。 -target:可选参数,用于指定要查询主机。如果未指定此参数,查询当前域中所有主机。...通过尝试遍历系统中所有可用授权令牌来随意添加新管理员。...如果想执行一个Powershell脚本,需要修改Powershell默认权限为执行权限。PowerShell常用执行权限有四种: Restricted:默认设置,不允许执行任何脚本。

5.2K43

内网学习笔记 | 4、域内信息收集

如果指定用户名(在引号之间),则仅显示该特定用户登录PC -noping 阻止尝试枚举用户登录名之前对目标计算机执行ping命令 -target...e filename.txt 指定要排除主机名文件 -o filename.txt 所有输出重定向到指定文件 -d domain 指定要提取主机列表域。...,但权限有限,无法获取更多域用户信息,可借助此脚本对域控制器进行扫描 smb-enum-shares.nse:遍历远程主机共享目录 smb-enum-processes.nse:对主机系统进程进行遍历...其原理:从user.HomeDirectories中提取所有用户,并对每个服务器进行Get-NetSession获取。...: 获取域默认策略或域控制器策略 Invoke-UserHunter: 获取域用户登陆计算机信息及该用户是否有本地管理员权限 Invoke-ProcessHunter: 通过查询域内所有的机器进程找到特定用户

3.5K20
  • 渗透测试 | 内网信息收集

    ###查看系统详细信息 执行如下命令,来查看系统信息,如结果所示,域即域名,登录服务器域控制器。...-h:显示帮助。 -u:检查是否有更新版本实用程序。 -current [''username'']:如果仅指定了-current 参数,获取所有目标计算机上当前登录所 有用户。...如果指定了用户名(DOMAIN\Username),则显示具有此用户账户作为上次登录计算机,根据网络策略,可能会隐藏最后一个登录用户名,且该工具可能无法得到该用户名。...-noping:阻止该工具在尝试获取用户登录信息之前对目标计算机执行 ping 命令。 -target:可选参数,用于指定要查询主机。如果未指定此参数,查询当前域中所有主 机。...-h:显示帮助菜单。 -f filename.txt:指定从中提取主机列表文件。 -e filename.txt:指定要排除主机名文件。 -o filename.txt:所有输出重定向到文件。

    3.1K20

    无需登录域控服务器也能抓 HASH 方法

    按照以下步骤启用日志: 登录域控制器 打开组策略管理控制台 展开域对象 展开组策略对象 右键单击默认域策略并单击编辑(应用于所有域计算机策略。...按照以下步骤启用日志: 登录域控制器 打开组策略管理控制台 展开域对象 展开组策略对象 右键单击默认域策略并单击编辑(应用于所有域计算机策略。...登录域控制器 打开组策略管理控制台 展开域对象 展开组策略对象 右键单击默认域策略并单击编辑(应用于所有域计算机策略。...选择“配置以下审计事件:”、“成功”和“失败”复选框 在我们实验室中,我们使用HELK设置来解析和查询日志,并使用winlogbeat日志从各个系统推送到HELK实例。...当我们执行 OverPass-The-Hash 攻击时,登录类型 9。 登录进程 - 用于登录可信登录进程名称。

    2.8K10

    蜜罐账户艺术:让不寻常看起来正常

    我们可以递归枚举 AD 森林中每个域中管理员组,也可以扫描每个域中用户属性“AdminCount”设置 1 所有 AD 用户帐户。...但是攻击者如何在攻击之前验证多汁目标(可能存在漏洞帐户)呢? 有一些关键 AD 用户属性是通过帐户正常使用而更新。这包括帐户上次登录时间、上次登录位置、上次更改密码时间等。...如果这些都大致相同,则该帐户很可能是假或不活跃。 以下是我们可以用来检查 AD 帐户有效性一些查询: Pwdlastset : 上次设置帐户密码时整数8 格式日期/时间。...之类内容更新信息属性。并且不要将密码设置为此。 蜜罐帐户添加到特权 AD 组并为攻击者提供获取真实密码能力(添加攻击者 Kerboeroast SPN),但以某种方式限制帐户。...组策略首选项密码蜜罐(不一定是帐户):在每个域 DC 上 SYSVOL 共享中创建一个随机 GUID 文件夹名称,并在该文件夹上设置一个 SACL(审计条目)(确保域控制器审计配置启用对象访问 -

    1.7K10

    内网信息收集

    域内所有查询都是通过域控制器实现(基于LDAP协议),而这个查询需要经过权限认证,所以,只有域用户才拥有这个权限;当域用户执行查询命令时,会自动使用Kerberos协议进行认证,无需额外输入账号和密码...systeminfo | findstr /B /C:"登录服务器" //如果结果不为"WORKGROUP"则主机域主机 3、查询当前登录域及登录用户信息 net group workstation...找不到域控制器:不存在域 四、探测域内存活主机 1、NetBIOS快速探测 NetBIOS是局域网程序使用一种API,程序提供了请求低级别服务统一命令集。...LDAP协议到域控制器上进行查询,故需要域用户权限,本地用户无法运行(除非是System用户) 在默认情况下,Domain Admins 和 Enterprise Admins 对域内所有域控制器有完全控制权限...),则显示该用户登录计算机 -last[“username”]:如果仅指定了-last参数,获取目标计算机最后登录用户;如指定了用户名(Domain\Usemame),则显示此用户上次登录计算机

    96020

    内网渗透基石篇—权限维持分析

    如果域控制器系统版本Windows Server 2003则不能进行使用我们知道,域控制器本地管理员和密码(与管理员账号和密码不同)。...q(第2次):退出ntdsutil 2.如果域控制器系统版本 Windows Server 208 已安装 KB961320 及以上,可以 DSRM 密码同步已存在域密码。...定期修改城中所有城控制器DSRM账号。当设置活动目录服务还原模式管理员密码会被记录在 4794 日志中。...Skeleton Key攻击防范措施 域管理员要设置强口令,确保恶意代码不会在域控制器内执行 在所有域用户中启动双因子认证,例如智能卡认证 启动应用程序白名单,以限制mimakatz在域控制器运行...HTTP-Backdoor脚本 此脚本可以帮助攻击者在目标主机上下载和执行Powershell脚本,接收来自第三方网站指令,在内存中执行PowerShell脚本,其语法如下。

    1.4K40

    Active Directory渗透测试典型案例(2) 特权提升和信息收集

    工作原理是查询Exchange服务器,获取包含Exchange服务器凭据响应,然后通过ntlmrelayx响应中凭据中继到域控制器,然后修改用户权限,以便他们可以在域控制器上转储哈希值。...首先,我们executionpolicy设置Bypass(绕过),以便我们可以导入和运行脚本。...此外,拥有对该用户不应该具有业务访问权限服务器权限,这当然会导致攻击者凭证丢到任何地方,最终找到在域控制器上工作凭证。 这里方法非常简单:在网络上喷涂凭据,查看您可以登录内容。...- 通过win32 api方法服务二进制路径设置指定值 Test-ServiceDaclPermission - 根据给定权限集测试一个或多个传递服务或服务名称...在参与和评估中,经常运行一些PowerShell脚本来帮助识别下一个目标,检查错误组策略设置,AD错误配置,缺少补丁等。

    2.6K20

    从 Azure AD 到 Active Directory(通过 Azure)——意外攻击路径

    攻击者控制帐户(称为“黑客”,所以我不会忘记使用是哪个帐户)启用 Azure 访问管理后,此帐户可以登录到 Azure 订阅管理并修改角色。...用户访问管理员提供修改 Azure 中任何组成员身份能力。 5. 攻击者现在可以任何 Azure AD 帐户设置拥有 Azure 订阅和/或 Azure VM 特权。...攻击者更新 Azure 角色成员资格以在 Azure VM 上运行命令: 为此帐户设置所有者”权限是显而易见(并且可以帐户添加到虚拟机管理员)。...当我遍历攻击链时,似乎没有任何此类活动明确记录(在 Office 365、Azure AD 或 Azure 日志中)。无法在 Azure AD 中检测此配置 - 没有可查询帐户属性。...确保尽可能隔离和保护 Azure 中域控制器等敏感系统。理想情况下,敏感系统使用单独租户。

    2.6K10

    如何通过审计安全事件日志检测密码喷洒(Password Spraying)攻击

    这种针对所有用户自动密码猜测通常是为了避免帐户被锁定,因为针对同一个用户连续密码猜测会导致帐户被锁定。所以只有对所有用户同时执行特定密码登录尝试,才能增加破解概率,消除帐户被锁定概率。...此时msDS-LockoutObservationWindow,设置复位帐户锁定计数器0:00:30:00(30分钟)。...下图就是自己编写一个快速PowerShell脚本密码喷洒: 在域控制器上针对SMB密码喷洒会导致域控制器记录事件ID 4625表示登录失败”,并且大多数事件都会显示在记录日志中,因此发生这种情况时...1.2域控制器:事件ID 4771“审计Kerberos验证服务”(成功与失败)。 1.3所有系统:事件ID 4648“审计登录”(成功与失败)。...2.在1分钟内配置50 4625多个事件警报。 3.在1分钟内50 4771多个事件警报设置失败代码“0x18”。 4.在1分钟内工作站上100 4648多个事件配置警报。

    2.5K30

    域渗透技巧

    ,也就是返回所有SPN注册在域用户下用户。...设置1所有帐户,现在,我们运行LDAP查询,以查找至少属于一个受保护组帐户。...一旦禁用了预身份验证,攻击者就可以为任何用户请求身份验证数据,并且域控制器返回可以离线暴力破解加密TGT。...可以借助这个脚本对域控制器进行扫描 smb-enum-shares.nse遍历远程主机共享目录 smb-enum-processes.nse通过smb对主机系统进程进行遍历,通过这些信息,可以知道目标主机上运行软件信息...更近一步,如果我们实现以下操作: 修改主机A组策略,设置自动发送当前用户凭据 在主机A上面实现服务端功能,接收主机A自己发送请求 我们同样能够获得用户明文口令。

    1.2K21

    内网渗透基石篇—信息收集(下)

    5.查询所有域成员计算机列表 net group ”domain computers“ /domain ? 6.获取密码信息(密码设置要求) net accounts /domain ?...执行如下命令,可以看到,域控制器机器名为"dc" 三、查询所有域用户列表 获取域内用户和管理员信息 1. 查询所有域用户列表 net user/domain ?...域管理员模拟方法简介 利用POwerSHell 收集域信息 1.检查Powershell状态 ? 2.状态修改成Unrestricted(需要管理员权限) ?...可作为筛选分析日志工具 ,4624(用户登录成功),4768、4776(用户验证成功) (4)域控日志 导出所有域控登录日志,分析出用户登录ip; wevtutil cl application...办公区安全防护水平通常不高,基本防护机制大多数杀毒软件或主机入侵检测产品。 3.核心区 核心区内一般存放着企业最重要数据、文档等信息资产(例如域控制器、核心生产机器)安全全设置也最为严格。

    1.8K20

    获取域内管理员和用户信息

    1.查找所有域用户列表 向域控制器进行查询 net user /domain 获取域内用户详细信息 wmic useraccount get /all 获取到信息包含用户名,描述信息,SID...值来查询登录过(HKEY_USERS根键包括默认用户信息(DEFAULT子键)和所有以前登陆用户信息.)但是有些功能需要管理员权限才能调用,而且会调用NetSessionEnum API。...PVEFindADUser.exe -h 显示帮助信息 -current["username"]列出目标计算机上当前登录所有用户/显示该用户登录计算机 其他命令不多说...优先使用 其他 Get-NetDomain: 获取当前用户所在域名称 Get-NetUser: 获取所有用户详细信息 Get-NetDomainController: 获取所有域控制器信息 Get-NetComputer...: 获取域默认策略或域控制器策略 Invoke-UserHunter: 获取域用户登录计算机信息及该用户是否有本地管理员权限 Invoke-ProcessHunter: 通过查询域内所有的机器进程找到特定用户

    7.8K20

    所了解内网渗透 - 内网渗透知识大总结

    ,它们在域中所有域控制器之间复制.Sysvol文件夹是安装AD时创建,它用来存放GPO,脚本等信息。...简单理解SSP就是一个DLL,用来实现身份认证 mimilib.dll复制到域控C:/窗/ SYSTEM32下 设置SSP 修改域控注册表位置: HKEY_LOCAL_MACHINE/System...组策略默认情况下每90分钟(域控制器5分钟)可包括安全选项,注册表项,软件安装以及启动和关闭脚本以及域成员刷新组策略设置。这意味着组策略在目标计算机上执行配置设置。...SYSVOL是所有经过身份验证用户具有读取权限Active Directory中域范围共享。SYSVOL包含登录脚本,组策略数据以及其他域控制器中需要使用全域数据。...SYSVOL共享将自动同步并在所有域控制器之间共享。 其实认为组策略也相当于远控,可以把配置脚本让域内每一台电脑都种上马批量执行一遍。

    4.2K50

    Cobalt Strike最实用24条命令(建议收藏)

    如果运行cobaltstrike.jar操作系统语言英语且未安装中文语言包,无法正常显示中文。...net computers:通过查询域控制器计算机账户列表来查找目标。 net dclist:列出域控制器。 net domain_trusts:列出域信任列表。...例如,命令“screenshot 2032 10”表示screenshot命令注入PID2032进程空间,每10秒截图一次,截图传回团队服务器。...使用Note模块可以给目标设置标记,如图所示。单击“确定”按钮后,标记就会在会话列表中显示出来,如图所示。 给指定Beacon设置标记 显示标记 Note模块可用来区分不同重要程度机器。...powershell-import模块可以直接本地PowerShell脚本加载到目标系统内存中,然后使用PowerShell执行所加载脚本中方法,命令如下,如图所示。

    2K10

    Cobalt Strike最实用24条命令(建议收藏)

    如果运行cobaltstrike.jar操作系统语言英语且未安装中文语言包,无法正常显示中文。...net computers:通过查询域控制器计算机账户列表来查找目标。 net dclist:列出域控制器。 net domain_trusts:列出域信任列表。...例如,命令“screenshot 2032 10”表示screenshot命令注入PID2032进程空间,每10秒截图一次,截图传回团队服务器。...使用Note模块可以给目标设置标记,如图所示。单击“确定”按钮后,标记就会在会话列表中显示出来,如图所示。 给指定Beacon设置标记 显示标记 Note模块可用来区分不同重要程度机器。...powershell-import模块可以直接本地PowerShell脚本加载到目标系统内存中,然后使用PowerShell执行所加载脚本中方法,命令如下,如图所示。

    45010

    Active Directory中获取域管理员权限攻击方法

    大多数组织在补丁发布后一个月内使用KB3011780修补了他们域控制器;但是,并非所有人都确保每个新域控制器在升级 DC 之前都安装了补丁。...大多数服务帐户密码都没有设置过期,因此相同密码可能会在数月甚至数年内有效。...为了解决这个问题,PowerShell 提供了 CredSSP(凭据安全支持提供程序)选项。使用 CredSSP 时,PowerShell 执行“网络明文登录”而不是“网络登录”。...将此值设置“True”将从涉及此系统任何 WinRM 连接中删除加密,包括 PowerShell 远程处理。...此数据库中数据被复制到域中所有域控制器。此文件还包含所有域用户和计算机帐户密码哈希。域控制器 (DC) 上 ntds.dit 文件只能由可以登录到 DC 的人员访问。

    5.2K10

    内网渗透基石篇:内网基础知识及域环境搭建

    前言 民国三年等不到一场雨,此生等不到表哥一句带你。 第一部分 内网基础知识点 内网也指局域网,是指在某一区域由多台计算机互连而成计算机组。...基于活动目录有目录服务,用于帮助用户从活动目录中快速找到所需消息。活动目录使得企业可以对网络环境进行集中管理。...5.域中计算机分类 域控制器、成员服务器、客户机、独立服务器 域控制器:用于管理所有的网络访问,存储有域内所有的账户和策略信息。...3.更改计算机名,更改为win7-X64-test,域名更改为hacke.testdb ? 4.然后输入域管理员账号和密码,登录成功。 ?...2.主机加到域中,改计算机名字。 ? 3.然后登录 ? ? 4.这样就搭建了一个小型内网。 ?

    1.6K40

    内网渗透-活动目录利用方法

    并非所有的区域都是有趣,例如正向、缓存和存根区域并不包含该域所有记录。如果找到了这些区域,最好查询它们实际所属域。下面的输出显示测试域只有默认区域。...如果要使用DSRM账号通过网络登录域控制器,需要将该值设置2。输入如下命令,可以使用PowerShell进行更改。...定期修改域中所有域控制器DSRM账号。 经常检查ID 4794日志。尝试设置活动目录服务还原模式管理员密码会被记录在4794日志中。...,其组员拥有管理域控制器权利,例如在域控制器登录域;建立、管理、删除域控制器共享文件夹与共享打印机;备份与还原文件;锁定与解开域控制器域控制器硬盘格式化;更改系统时间;域控制器关闭等...猜这是为了更简单用户体验,但这给了攻击者从打印机控制权限升级起点机会。 我们可以 LDAP 服务器地址设置我们控制机器,并使用有用 "测试连接" 功能触发连接。

    10410

    内网渗透之内网权限维持

    :修改DSRM密码 reset password on server null:在当前域控制器上重置DSRM密码 q(第1次):退出DSRM密码设置模式 q(第2次):退出ntdsutil 如果域控制器系统版本...,都可以使用DSRM管理员账号登录域控制器 在Windows Server 2000以后版本操作系统中,对DSRM使用控制台登录域控制器进行了限制,如果要使用DSRM账号通过网络登录域控制器,需要将该值设置...定期修改域中所有域控制器DSRM账号 经常检查ID4794日志,尝试设置活动目录服务还原模式管理员密码 SSP权限维持 基本介绍 SSP(Security Support Provider)是...脚本,在加载Mimikatz之后,使用PowershellMimikatz中misc::skeleton命令,Skeleton Key注入域控制器lsass.exe进程,依次输入以下命令: (...Debug权限,通用Skeleton Key防御措施列举如下: 域管理员用户设置强口令,确保恶意代码不会在域控制器中执行 在所有域用户中启用双因子认证 启动应用程序白名单(Applocker),以限制

    18410
    领券