一、查询哪台机器登录了哪些用户
psloggedon.exe \DC
PVEFindADUser.exe -current >> 2.txt
二、域管理员进程定位
1.确定域管理员的活动会话ip
FOR /F %i in (dcs.txt) do @echo [+] Querying DC %i && @netsess -h %i 2>nul > sessions.txt &&
FOR /F %a in (admins.txt) DO @type sessions.txt | @findstr /I %a
其中dcs.txt 表示域控制器,admins.txt是域管理员列表
2.tasklist批量远程登录目标主机查找管理员进程
FOR /F %i in (ips.txt) DO @echo [+] %i && @tasklist /V /S %i /U test\Administrator /P testpassword 2>NUL > output.txt && FOR /F %n in (names.txt) DO @type output.txt | findstr %n > NUL && echo [!] %n was found running a process on %i > results.txt && pause
其中ips.txt就是账户和密码能够登录的ip,names.txt则是管理员列表
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
