【域渗透】获取域环境内用户登录信息

之前见到有人在讨论域内用户在域内的机器ip怎么查呢,集思广益,结合答复及自己的观点,总结了以下内容。

0x00 adfind(未实践)

有时候管理员会设置域用户只可以登录指定的的域内计算机,使用adfind或者powerview导出域用户信息可以查看;

1
2
3
4
5
6
查看域内用户详细信息:
adfind.exe -h DNS_SERVER_IP -sc u:username(目标用户)

查看域内所有用户详细信息:
AdFind.exe -h DNS_SERVER_IP -sc u:*
详见:http://www.joeware.net/freetools/tools/adfind/usage.htm

powerview在域内执行就可以。

0x01 查看域内机器的用户目录文件夹

确定开机状态的计算机列表-建立连接-查看用户目录-断开连接,可以参考如下批处理:

1
2
3
4
5
6
7
8
9
for /f "delims=" %%i in (live.txt) DO (
net use \\%%i\C$ password /u:domain\domain_admins_user
if not errorlevel 1 (
for /f "delims=" %%j in ('dir /od /b \\%%i\C$\users\') do (
echo %%i:%%j>> test.log
)
net use \\%%i\C$ /del
)
)

域管不用建立连接就可以访问域内计算机资源(未实践),因此以域管权限运行时可以参考如下批处理:

1
2
3
4
5
for /f "delims=" %%i in (live.txt) DO (
for /f "delims=" %%j in ('dir /od /b \\%%i\C$\users\') do (
echo %%i:%%j>> test.log
)
)

0x02 域控日志

wevtutil为Windows 事件命令行实用程序,其导出的日志为evtx格式(即Windows日志本身的存储格式),可以使用Windows事件查看器分析,Crtl+F查找,或者不使用epl参数,直接重定向输出即可。
wevtutil常用的场景是清理日志。

1
2
3
4
wevtutil cl application
wevtutil cl security
wevtutil cl system
wevtutil cl "windows powershell"

而它也可作为筛选分析日志的工具。这里需要注意的几个ID分别为:4624(用户登陆成功)、4768、4776(用户账号验证成功)

使用wevtutil结合python
  • wevtutil

    1
    wevtutil qe security /q:"Event[System[(EventID=4624 or EventID=4768 or EventID=4776)]]" /f:text /rd:true /c:1 > EvtLogon.dat
  • 参数说明

    1
    2
    3
    4
    5
    6
    7
    qe: 从日志或日志文件中查询事件;(默认xml格式显示)
    Security: 指定安全事件的日志;
    /q: 筛选规则,可以打开Windows事件查看器的筛选器配置筛选条件后转至XML复制筛选规则;
    /f: 以text格式显示
    /rd: 指定读取事件的方向
    /c: 指定个数
    该命令其它参数参考wevtutil /?
  • python

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    50
    51
    52
    53
    54
    55
    56
    # -- coding:utf-8 --
    # Python v2.7.10

    import sys
    import csv

    evt = 'EvtLogon.dat'
    fevt = open(evt,'r')

    try:
    # For Eliminate redundancies
    lastdate = 'lastdate'
    lasttask = 'lasttask'
    # 因为windows下的换行符问题,导致写的文件会有空行,使用二进制模式打开
    with open('LogonStat.csv', 'wb') as csvfile:
    csv_write = csv.writer(csvfile)
    csv_write.writerow(["Task", "Date", "Account Name", "Account Domain", "Logon Address"])

    for eachline in fevt:
    if eachline.find('Event[') > -1:
    task = ''
    date = ''
    accname = ''
    logontype = ''
    logonaddr = ''
    skip = 0
    elif eachline.find('Date:') > -1:
    date = eachline[(eachline.find(':')+1):].strip()
    elif eachline.find('Task:') > -1:
    task = eachline.split(':')[1].strip()
    if (date == lastdate) and (task == lasttask): ## reduce
    skip = 1
    else:
    lastdate = date
    lasttask = task
    elif eachline.find('Account Name:') > -1:
    accname = eachline.split(':')[1].strip()
    if (task == 'Logon') and (accname.find('$') > -1): ## reduce
    skip = 1
    elif eachline.find('Account Domain:') > -1:
    accdomain = eachline.split(':')[1].strip()
    elif eachline.find('Source Network Address:') > -1:
    logonaddr = eachline[(eachline.find(':')+1):].strip()
    if logonaddr == '-':
    skip = 1
    if (skip == 0) and (task == 'Logon'):
    LogonStat = [[task, date, accname, accdomain, logonaddr]]
    csv_write.writerows(LogonStat)

    except Exception as e:
    # pass
    print 'Error: %s' % e
    sys.exit(1)

    fevt.close()
    csvfile.close()

PS: 筛选条件还有很多,都可以组合利用,从而筛选出自己所需要的信息。

1
2
3
wevtutil qe Security /q:"*[EventData[Data[@Name='LogonType']='10'] and EventData[Data[@Name='TargetUserName']='RcoIl'] and System[(EventID=4624) and TimeCreated[timediff(@SystemTime) <= 2592000000]]]"

wevtutil qe Security /q:"*[System[(Keywords='0x8020000000000000')] and EventData[Data[@Name='SubjectUserName']='RcoIl']]" /f:text /rd:true /c:2

0x03 【参考】

wevtutil筛选windows日志查询结果
[Tools]获取域环境内所有用户登录信息(附源码及程序)
域内用户在域内的机器ip怎么查呢?
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd337721(v%3dws.10)
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/cc732848(v=ws.11)

!坚持技术分享,您的支持将鼓励我继续创作!