1、目标:定位域管理员、特权账户在域内哪些服务器或主机上登陆过,获取登陆凭据,从而获取域管理员权限
2、通过IPC空连接(在域中)、或地权限连接(工作组中),调用系统API,枚举目标系统中会话信息、登录历史信息、组信息及组成员信息。API:NetSessionEnum、NetShareEnum、NetWkstaUserEnum、Active Directory Service Interfaces(ADSI)
3、工具:netsess.exe、netview.exe、psloggon.exe、PVEFindADUser.exe、nete.exe
4、nete.exe下载地址:http://www.cultdeadcow.com/tools/nete.html
5、通过PowerView脚本获取域内任意一台主机的本地管理员组成员:get-NetLocalGroupMember、get-NetLocalGroup
6、PowerView提供了类似的更为强大的功能,Get-DomainGPOLocalGroup命令,枚举分析所有的组策略,可方便得出结果。Get-DomainGPOLocalGroup的原理是分析GptTmp1.inf文件中是否存在特权组的变动,这种方式会存在一定的缺陷。
参考资料:
http://www.joeware.net/freetools/tools/netsess/index.htm
http://www.joeware.net/freetools/tools/lg/index.htm