渗透基础——获得域用户的登录信息

最新推荐文章于 2023-12-30 15:23:18 发布
最新推荐文章于 2023-12-30 15:23:18 发布
阅读量814 收藏
点赞数
分类专栏: 计算机网络 网络安全 文章标签: java 服务器 数据库 网络安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77157449/article/details/129972812
版权

导语:本文将要分享我的实现方法,开源两个工具,记录细节。

0x00 前言

在域渗透中,获得了域控制器权限后,需要获得域用户的登录信息,包括域用户登录的IP地址和登录时间。通常使用的方法是查看域控制器的登录日志(Eventid=4624)。然而,人工从登录日志(Eventid=4624)中筛选出域用户登录的IP地址和登录时间需要耗费大量时间,不仅无效数据多,而且需要多次判断,所以我们需要编写程序来实现这个功能。

在实际使用过程中,为了能够适配多种环境,还需要支持本地和多种协议的远程登录。于是本文将要分享我的实现方法,开源两个工具,记录细节。

0x01 简介

本文将要介绍以下内容:

通过EventLogSession实现

通过WMI实现

开源代码

0x02 通过EventLogSession实现

通过查询资料发现,通过EventLogSession不仅支持解析本地日志内容,还支持通过RPC远程解析日志,下面介绍关于EventLogSession的开发细节

1.输出Eventid=4624的日志内容

C Sharp实现代码:

using System;
using System.Diagnostics.Eventing.Reader;
namespace Test1
{
   
    class Program
    {
   
        static void Main(string[] args)
        {
   
            var session = new EventLogSession();
            string LogName = "Security";
            string XPathQuery = "*[System/EventID=4624]";
            EventLogQuery eventLogQuery = new EventLogQuery(LogName, PathType.LogName, XPathQuery)
            {
   
                Session = session,
                TolerateQueryErrors = true,
                ReverseDirection = true
            };
            using (EventLogReader eventLogReader = new EventLogReader(eventLogQuery))
            {
   
                eventLogReader.Seek(System.IO.SeekOrigin.Begin, 0);
                do
                {
   
                    EventRecord eventData = eventLogReader.ReadEvent();
                    if (eventData == null)
                        break;
                    Console.WriteLine(eventData.FormatDescription());                    
                    eventData.Dispose();
                } while (true);
最低0.47元/天 解锁文章
网安周
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何查看用户登录的计算机
Ms08067安全实验室
02-19 4246
在内网渗透的过程中,经常会遇到需要查看用户登陆了哪些机器,目前我们收集整理了三种方法,给大家分享出来。使用vbs脚本来查询' Script for getting curren...
计算机日志查询用户登录记录,用户权限|查看日志
weixin_42480812的博客
07-02 3689
用户权限|查看日志。如果委派特定用户查看DC的系统日志?回答:根据您的描述,我对这个问题的理解是:您想指定特定的用户允许查看DC上的事件日志。根据我的研究,要允许特定用户访问控制器上的事件日志,请使用以下步骤:1. 以管理员身份登陆到控制器。2. 打开文件%windir%\inf\Sceregvl.inf,加入以下内容到[Strings]之上:MACHINE\System\CurrentCo...
web获取当前计算机信息,【渗透获取环境内用户登录信息
weixin_35582180的博客
07-26 1185
之前见到有人在讨论用户内的机器ip怎么查呢,集思广益,结合答复及自己的观点,总结了以下内容。0x00 adfind有时候管理员会设置用户只可以登录指定的的内计算机,使用 adfind或者 powerview导出用户信息可以查看;12345678查看用户详细信息:adfind.exe -h DNS_SERVER_IP -sc u:rcoil(目标用户)adfind.exe -h D...
获取用户信息
SolidWorks 二次开发
07-03 1552
Public Shared ReadOnly Property UserName As String Get Dim result As String Using directoryEntry As DirectoryEntry = New DirectoryEntry("LDAP://" + IPGlobalProperties....
常用用户信息查询
qq_43091539的博客
09-22 534
常用用户信息查询
获取 AD 用户列表
07-18
获取 AD 用户列表获取
渗透——PassTheHash&PassTheKey
02-26
对于PassTheHash大家应该都很熟悉,在2014年5月发生了...在渗透中,Hash和Key尤为重要,对其获取和利用一直是攻防双方最主要的关注点,所以本次就从hash和key开始。控:内主机:在上篇LAPS中提到,如果内网主机的
渗透必学基础——网络协议从入门到底层原理
06-05
渗透教程,学习路线,助你成就大牛
渗透测试入门——渗透测试笔记
01-27
本题算是一道较为综合的渗透题,要求对两个服务器系统进行渗透,这两个 CMS同样能在网上找到许多漏洞,常用作渗透测试的练习靶机。根据提示,第1题要求找到咨询平台的管理员账号密码;第2题需要登录服务器后台,并...
001.PDF.渗透技巧——获得Powershell命令的历史记录–3gstudent1
08-03
【标题】:渗透技巧——获取PowerShell命令的历史记录 【描述】:本文主要探讨了如何在渗透测试中获取PowerShell命令的历史记录,包括利用不同方法导出历史记录,并提出相应的防御建议。文中还提到了查看cmd.exe...
windows 2008 server 及账户管理
07-19
windows 2008 server 及账户管理
如何查看控计算机是哪个用户登陆,查看控制器上登录用户
weixin_36378222的博客
06-23 3177
如何查看当前登录验证的用户内多台控制器,如何查看某台控制器上当前登录用户或计算机?系统自动的工具好像没有实现此需求的办法,有无像脚本或者其他的思路来满足此需求呢?是指验证过的用户或计算机对象。回答:从您的回帖中,我们得知您是想要查询验证过的用户或者计算机对象,为了更好的×××,您可否告诉我您需要查询控制器上验证过的用户和计算机的用途是什么呢?您可以参考在我之前的回帖中的第二点,开启...
批量查看用户登录计算机信息
weixin_33920401的博客
11-16 2462
批量查看用户登录计算机信息在企业中经常有各种针对帐号信息收集的需求,比如收集帐号在哪台计算机的登录时间;或者收集针对计算机硬件信息收集,对于硬件的收集推荐使用Bginfo来部署,结合AD组策略登录脚本使用,具体方法本文忽略。所以组策略功能很重要,结合脚本能实现很多需求,在这里顺便介绍下PowerShell,它功能更丰富,更强大,也更实用,希望大家可以深入了解并学习,相信...
java获取用户_java获取AD用户信息
weixin_35761503的博客
02-12 623
java如何获取AD用户信息?http://aa00aa00.iteye.com/blog/1276936http://blog.sina.com.cn/s/blog_6ef2c4540100nuvq.htmlpackagecom.webservice.message;importjava.util.Hashtable;importjavax.naming.Context;importjavax...
用户信息查询
最新发布
aweiname2008的博客
12-30 788
powershell 查询本地用户和 SID。查询guest账号SID。
---查看用户登录的客户端
weixin_34336526的博客
04-05 366
环境下,要查看那些用户已经登录中,用那台电脑登录的,一般是启用登录事件审核,然后再去安全日志中去查找,安全日志中LOG量大,查看也不方便,有没有更方便的方法呢? 一次偶然的机会,从微软一位工程师中得到一个脚本,在控制器上新建一个TXT文件,将下面内容COPY进去,另存为.VBS ,然后执行就可以查看那些用户登录中的那台客户端上! ...
计算机日志查询用户登录记录,Windows控制器身份验证登录日志记录和取证...
weixin_39876645的博客
07-02 2347
•2: Interactive logon — This is used for a logon at the console of acomputer. A type 2 logon is logged when you attempt to log on at aWindows computer’s local keyboard and screen.•3: Network logon — T...
web 项目 获取客户端 账户
live801的博客
03-06 878
package com; import java.io.IOException; import java.net.InetAddress; import java.util.Enumeration; import javax.servlet.ServletException; import javax.servlet.http.HttpServlet; import javax.servlet.h...
获取服务器登录日志工具
Python_0011的博客
11-11 530
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。(都打包成一块的了,不能一一展开,总共300多集)
渗透测试拿到本地用户权限如何查看用户信息
06-08
如果你已经成功地在目标系统上获得了本地用户权限,你需要查看目标系统是否加入了。如果目标系统加入了,你可以使用以下方法查看用户信息: 1. 使用命令行工具查询名:在命令提示符中输入"set user"、"set ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值