思路篇
- 分析组关系:可以使用net group /domain查询该域内所有的组名称,然后用net group 组名 /domain 查询指定组内的所有用户。也可以使用dsquery、adfind、powerview等工具查询
- 注意描述信息:在新建OU、组、用户等对象的时候会添加描述信息。可以使用adfind、powerview等工具查询信息(Description属性)
- 第三方服务:邮件系统、工资结算系统、业务系统
- 分析网段划分:同一部门的员工很可能分在同一网络中,网管计算机上可能找到网络划分信息
- 查询组信息、OU信息、描述信息等仅需要域用户权限即可
- 域内的用户信息有displayName、sAMAccountName两个名字。一般情况下,displayName更接近员工的真实姓名,sAMAccountName为姓名缩写,也是我们平时所说的用户名
- 使用psloggedon、PVEFindADUser、netview、PowerView等工具可以查看域内所有计算机的在登录用户,进而分析出用户个人机。根据当前权限高低可以查询到不同的信息,域管可以查询到更多的登录信息
- 有时候管理员会将员工加入其个人机的本地管理员组,在有域用户权限的情况下,就可以使用lg查看域内计算机的本地管理员组用户,进而对应个人机
- 域内所有用户的认证均需在域控上完成,域控上记录有所有用户登录的来源IP。使用wevtutil导出所有域控上的登录日志(因为各域控之间不会同步日志),然后使用LogParser分析整理导出的日志去除重复数据、无效数据,即可获得用户个人机的对应关系
- 文件服务器上可以使用net session命令查询连接文件服务器的用户及其来源IP,需要管理员权限
- 可以在邮件服务器记录登录来源IP或者分析邮件头获取发件人的IP地址
- 用批处理列出所有计算机c:\users\目录下的文件夹
- 用户使用的操作系统大多不是服务器,可以利用adfind等工具查询域内所有计算机的操作系统(operatingSystem属性),排除操作系统为服务器的计算机。
- 有时候用户的个人机IP是动态的,可以分析出个人机的计算机名作为用户和个人机的对应关系,避免IP更换后重新分析
8869
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
