其他
本地帐户和活动目录帐户
本地帐户Local Accounts
01
administrator
net user administrator /active:yes
域内计算机上的本地administrator
02
Guest
03
DefaultAccount
04
WDAGUtilityAccount
活动目录帐户Active Directory Accounts
01
用户帐户User Accounts
域控上的本地帐户
administrator帐户
Guest帐户
krbtgt帐户
新建域用户
net user hack P@ss1234 /add /domain
用户帐户的属性
UPN(User Principal Name):如 zhangsan@xie.com 。UPN的格式与电子邮件账号相同,在整个林内,这个名称必须是唯一的。UPN并不会随着帐户被移动到其他域而改变。 用户SamAccountName:如 xie\zhangsan 。这是旧格式的登录账号。Windows2000之前版本的旧客户端需要使用这种格式来登录域。在以后版本的客户端,也支持使用这种方式登录。在同一个域内,这个名称必须是唯一的。
用户帐户的选项
查询域用户
#查询域内所有用户
net group "domain users" /domain
#这条命令查询的话,除了会查询出域内所有用户外,还会查询出域控的本地账号guest
net user /domain
Import-Module .\PowerView.ps1
Get-NetUser | select name
python3 samrdump.py xie/hack:P@ss1234@10.211.55.4 -csv
adfind.exe -f "(&(objectCategory=person)(objectClass=user))" -dn
net user hack /domain
Import-Module .\PowerView.ps1
Get-NetUser hack
#查询hack用户指定信息
adfind.exe -sc u:hack
02
服务帐户Service Accounts
新建服务帐户
域管理员:administrator 普通用户:hack
#查询hack用户注册的SPN
setspn -L hack
#给hack用户注册test/test SPN
setspn -S test/test hack
python3 GetUserSPNs.py -request -dc-ip 10.211.55.4 xie.com/hack:P@ss1234
查询服务帐户
#查看当前域内注册的所有SPN
setspn -Q */*
python3 GetUserSPNs.py -dc-ip 10.211.55.4 xie.com/hack:P@ss1234
03
机器帐户Computer Accounts
HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
新建机器用户
python3 addcomputer.py -computer-name 'machine' -computer-pass 'root' -dc-ip 10.211.55.4 'xie.com/hack:P@ss1234' -method SAMR -debug
Import-Module .\New-MachineAccount.ps1
New-MachineAccount -MachineAccount machine2 -Password root
AdFind.exe -sc adsid:S-1-5-21-1313979556-3624129433-4055459191-1154 -dn
查询机器用户
net group "domain computers" /domain
Import-Module .\PowerView.ps1;
#查询域内主机,包括域控
Get-NetComputer
adfind.exe -f "(&(objectCategory=computer)(objectClass=computer))" -dn
#查询指定机器mail详细信息
AdFind.exe -f "&(objectcategory=computer)(name=mail)"
机器属性解读
机器用户和system用户的关联
哈希为:c62ad63ed2f04e78ca97efeea85e5878。 明文密码为:ex1kgnQg;,hYrwu Nn0_59Bdz<tk<]t;nt:1wpa^n1 5fw2s="">.ji8bG_VHdp#;]wR7Z IH51G/soN2yahW<n1b,<3#@4ajjky8-9cdte*,?*\&k32 iohp。<="" span="">
psexec.exe -i -s cmd.exe
python3 smbexec.py administrator:root@10.211.55.6 -codec gbk
AdFind.exe -h 10.211.55.4:389 -u xie\win7$ -up "ex1kgnQg;,hYrwu Nn0_59Bdz<tk<]t;nT:1WPA^N1/\]5fW2S>.ji8bG_VHdp#;]wR7Z IH51G/soN2yahW<N1B,<3#@4aJjky8-9CdTe*,?*\&k32 iOHP" -f "objectcategory=computer" dn