このようなエクスポートログ解析、あなたはすぐにターゲットを見つけることができ、および生成されたログは、問題のログを検討するための基本的な必要性は比較的小さいです。anubis_zclと今日の議論でも、新しい何かに理解。明日を追加します。
ドメイン情報にまず、アクセス
1.リストドメインのすべてのマシン名(DSQUERYコンピュータdomainrootが65535 &&ネットグループ「ドメインコンピュータ」/ドメインを-Limit)
2、(DSQUERYユーザーdomainrootが65535 &&ネットユーザー/ドメインを-Limit)ドメイン名内のすべてのユーザーをリスト
3、ドメインネットワークセグメンテーション(DSQUERYサブネット)をリスト
図4は、パケット・ドメインを示しています(DSQUERYグループ&&ネットグループ/ドメイン)
組織単位(OU DSQUERY)以内5、リスト
図6に示すように、ドメインコントローラ(DSQUERYサーバ&&正味時間/ドメイン)内に記載されています
7、ドメイン管理者アカウントをリスト(ネットグループ「ドメイン管理者」/ドメイン)
ターゲットを決定するために、第二に、分析ドメイン情報
コレクションへの情報を通じて、我々は例えば、重要な情報を分析することができます。各パケットには、ユーザー、マシン(ネットグループグループ名/ドメイン&& DSQUERY以下のものを持っています
「王の情報」)は、ファイルサーバ、メールサーバ、およびターゲットの場所。
浸透内で、サード
1、クロールハッシュコード(gsecdump、WCE、pwdump7、GETHASHなど)割れ
2、ハッシュ注射(WCE -s)
3、(wce1.3 -w、gsecdump -a)LSA平文パスワードを読んで
4,0dayオーバーフロー(SMB、RDP、DNS、RPC、等)
5、インストールGINAレコード管理者アカウントのパスワード
6、HDなど、弱いパスワードをスキャン
上記の方法により、ドメインコントローラの権限を取得します
第四に、ターゲットIPを決定
1、対象ユーザのログイン日時を決定(ネットユーザーAA /ドメイン)
2、日付エクスポートドメインコントローラログインログ(ます。cscript eventquery.vbs / FI "日時6月25日EQ / 2012,03:15:00 AM / 6月25日/ 2012,03:15:00PM"
/リットルセキュリティ> C:\ xxx.txt)
3、輸出DHCPの設定(netshをDHCP)
ログ分析により、宛先IP、さらに精度のストライキを決定します。