在内网渗透中,我们需要找到域管理的机器获取相应的资源并以此来对内网安全进行评估,通常情况下有两种方法,一个是日志,一个是会话,日志指的是本地的管理员日志,可以使用脚本或wevtutil工具导出查看,会话指的是域内每台机器的登录会话,可以使用netsess.exe、powerview等工具查看
Netview可枚举系统,查找登录会话,查找共享,枚举登录用户,命令行直接运行可查看帮助信息
https://github.com/mubix/netview
C:\>netview.exe
Netview Help
--------------------------------------------------------------------
-h : Display this help menu
-f filename.txt : Specifies a file to pull a list of hosts from
-e filename.txt : Specifies a file of hostnames to exclude
-o filename.txt : Out to file instead of STDOUT
-d domain : Specifies a domain to pull a list of hosts from
uses current domain if none specified
-g group : Specify a group name for user hunting
uses 'Domain Admins' if none specified
-c : Check found shares for read access
-i interval : Seconds to wait between enumerating hosts
-j jitter : Percent jitter to apply to the interval (0.0-1.0)
Psloggedon可以查看本地登录的用户、域登录的用户以及远程计算机登录的用户,下载psloggedon后在当前目录打开命令行即可使用,说明参数如下
https://docs.microsoft.com/en-us/sysinternals/downloads/psloggedon
参数说明:
PVEDFindADUser可查找活动目录用户的位置、枚举域用户、查找特定计算机上登录的用户(本地用户、通过RDP登录的用户、用于运行服务的用户、计划任务的用户),直接命令行运行查看参数说明
直接运行以下命令即可显示域中所有计算机上登录的所有用户,结果输出到report.csv文件中
PVEFindADUser.exe -current