定位思路篇

最新推荐文章于 2026-04-11 22:31:20 发布
原创 最新推荐文章于 2026-04-11 22:31:20 发布 · 635 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

思路篇

  • 分析组关系:可以使用net group /domain查询该域内所有的组名称,然后用net group 组名 /domain 查询指定组内的所有用户。也可以使用dsquery、adfind、powerview等工具查询
  • 注意描述信息:在新建OU、组、用户等对象的时候会添加描述信息。可以使用adfind、powerview等工具查询信息(Description属性)
  • 第三方服务:邮件系统、工资结算系统、业务系统
  • 分析网段划分:同一部门的员工很可能分在同一网络中,网管计算机上可能找到网络划分信息
  • 查询组信息、OU信息、描述信息等仅需要域用户权限即可
  • 域内的用户信息有displayName、sAMAccountName两个名字。一般情况下,displayName更接近员工的真实姓名,sAMAccountName为姓名缩写,也是我们平时所说的用户名
  • 使用psloggedon、PVEFindADUser、netview、PowerView等工具可以查看域内所有计算机的在登录用户,进而分析出用户个人机。根据当前权限高低可以查询到不同的信息,域管可以查询到更多的登录信息
  • 有时候管理员会将员工加入其个人机的本地管理员组,在有域用户权限的情况下,就可以使用lg查看域内计算机的本地管理员组用户,进而对应个人机
  • 域内所有用户的认证均需在域控上完成,域控上记录有所有用户登录的来源IP。使用wevtutil导出所有域控上的登录日志(因为各域控之间不会同步日志),然后使用LogParser分析整理导出的日志去除重复数据、无效数据,即可获得用户个人机的对应关系
  • 文件服务器上可以使用net session命令查询连接文件服务器的用户及其来源IP,需要管理员权限
  • 可以在邮件服务器记录登录来源IP或者分析邮件头获取发件人的IP地址
  • 用批处理列出所有计算机c:\users\目录下的文件夹
  • 用户使用的操作系统大多不是服务器,可以利用adfind等工具查询域内所有计算机的操作系统(operatingSystem属性),排除操作系统为服务器的计算机。
  • 有时候用户的个人机IP是动态的,可以分析出个人机的计算机名作为用户和个人机的对应关系,避免IP更换后重新分析
内网渗透基石—信息收集下
05-06 9149
前言: 目标资产信息搜集的程度,决定渗透过程的复杂程度。 目标主机信息搜集的深度,决定后渗透权限持续把控。 渗透的本质是信息搜集,而信息搜集整理为后续的情报跟进提供了强大的保证。 一、收集域内基础信息 首先得做准备工作,才可以查询。 1.查询域(需要启动Computer Browser服务) win7 在计算机管理--服务--找到CB服务,然后开启; 2.net view /domain #查找域 3.查询域内所有计算机 net view /domain :HACKE 4.查.
JVM生产环境问题定位与解决实战(六):总结——问题定位思路与工具选择策略
篱笆女人和狗的博客
04-02 1421
在前五文章中,我们深入探讨了JVM生产环境问题定位与解决的实战技巧,从基础的jps、jmap、jstat、jstack、jcmd等工具,到JConsole、VisualVM、MAT的高级应用,再到Java飞行记录器(JFR)的强大功能,以及如何使用JMC进行JFR性能分析,最后介绍了Arthas这一不可错过的故障诊断利器。工具之间还可以组合使用。不同的工具适用于不同的场景和问题类型,接下来我们将对这些工具进行分类,并探讨如何根据具体问题选择合适的工具。JVM问题的排查需要综合运用工具、日志和代码分析。
NT6系统命令行下导出用户登录日志
bezal的专栏
03-31 2462
以文本形式输出用户登录日志 (100条数目作为数量限制) wevtutil.exe qe security "/q:*[System [(EventID=4624)]]" /f:text /rd:true /c:100 > c:\sys.txt 导出用户登录日志 wevtutil.exe epl security "/q:*[System [(EventID=4624)]]" c
DOS 命令 | 每日一学,wevtutil 快速检索 Windows 系统事件日志元数据
全栈工程师修炼指南-IT知识分享
04-11 2057
wevtutil 命令工具包含在 %windir%\x5cSystem32 目录中,主要用于在计算机上注册提供程序的命令行实用工具, 还可以使用它来获取有关提供程序、其事件及其记录事件的通道的元数据信息,以及从通道或日志文件查询事件。wevtutil 命令工具包含在 %windir%\x5cSystem32 目录中,主要用于在计算机上注册提供程序的命令行实用工具, 还可以使用它来获取有关提供程序、其事件及其记录事件的通道的元数据信息,以及从通道或日志文件查询事件。路径下,但不支持使用文本编辑器打开。
【Windows】系统日志不会查?一文教你用 `wevtutil` 命令
weixin_39372311的博客
11-22 1954
wevtutil
SharpUserIP - 快速获取域用户登录日志工具
潇湘信安的博客
12-22 708
在域控或远程提取登录日志,快速获取域用户对应的IP地址。
不用二维码、不用车载定位,这论文把 AGV 视觉导航换了个思路
最新发布
zhongxiaershi的博客
04-11 336
AGV 视觉导航是不是一定要靠车载传感器?这论文给出了一个很不一样的答案:**把相机装到车间顶部,让环境来统一“看住”所有 AGV。** 作者提出的 NECV 方法基于 **YOLOv8 + 改进 StrongSORT + 逆透视映射**,不需要每台 AGV 都装定位传感器,也不需要额外布置定位标志。论文结果显示,经过误差补偿后,NECV 的精度已经接近常见的 QR 码导航方案,同时定位检测成本可以下降约 **90%**。
OSPF故障定位思路?照这抄就行
06-28 1327
每隔一秒在RTB上输入display ospf routing,可以看到有路由在振荡,如果区域内路由频繁振荡,在没有邻居振荡的情况下,可以判断为RouterID冲突。RTA上IP地址为112.1.1.2的接口状态为DR,RTC上IP地址为112.1.1.2的接口状态也为DR,这两个接口的IP地址发生了冲突。没有了BGP路由,PE1和PE2也不会在向CE1发布路由。如上图所示,PE1和MCE设备都绑定了VPN,属于私网进程,在PE1上引入BGP路由,产生了LSA,但MCE设备上却没有计算出来路由。
设计严谨,思路绝妙!这高级孟德尔随机化研究:药靶、共定位,发文一区(IF=8.9)!...
weixin_47988917的博客
05-07 6140
现在越来越多的学者在用孟德尔随机化高级方法发文,今天我们看的这药靶孟德尔随机化,还用了共定位分析方法,亮点在于它的设计严谨,思路绝妙,一起看下去吧!2024年4月21日,四川大学华西医院陈永平团队做了一项药靶孟德尔随机化研究,在期刊《Journal of CachexiaSarcopenia And Muscle》(医学一区,IF=8.9)发表了题为:“Systematic druggabl...
wevtutil工具查看系统日志event log
Katherine1029的博客
01-26 1687
/{sq | structuredquery}:[true|false] # 如果为 true,则 <PATH> 是包含结构化查询的文件的完整路径。* /{sbm | savebookmark}:VALUE #VALUE 是用于保存此查询的书签的文件的完整路径。* /{lf | logfile}:[true|false] #如果为 true,则 <PATH> 是日志文件的完整路径。* /{bm | bookmark}:VALUE # VALUE 是包含上一查询的书签的文件的完整路径。
wevtutil简介与使用
VinWqx的博客
02-21 3325
wevtutil是微软Windows eventlog有关的工具,可以用于检索有关事件日志、导出、清除、归档事件日志等。
域内信息查询工具AdFind
LuckySec
04-19 4682
工具简介 Adfind是一款在域环境下非常强大的信息搜集工具,允许用户在域环境下轻松搜集各种信息。它提供了大量的选项,可以优化搜索并返回相关详细信息,是内网域渗透中的一款利器。 下载地址:https://www.softpedia.com/get/Programming/Other-Programming-Files/AdFind.shtml 常用命令 列出域控制器名称: AdFind -sc dclist 查看域控版本: AdFind -schema -s base objectversion
监控账户登录
weixin_34392906的博客
03-25 442
监控账户登录对于有很大权限的账户,比如域管理员账户我们希望能够实时监控他的登录情况。如果账户被他人盗取,我们在第一时间就判断是正常使用还是他人盗取后使用的。这里介绍一种不借助第三方工具就能简单实现的邮件监控账户登录的方法。首先,打开安全日志,找到用户登录日志。在Windows 2012 R2中记录的日志是4626。其中记录了用户名,登录的客户端。接下去就要新建计划任务...
java开发定位思维和思路
OpenWorld1的博客
07-12 1646
定位思维】 第一步:看代码首先应该熟悉每一个功能模块,知道每个功能按钮是干什么用的,执行后程序会做出什么样的反应,一边研究每一个按钮的功能,一边思考它是如何和数据交互的和其他功能关联起来的!如果是我设计我将如何设计,思考将贯穿始终,看代码一直是思考和记忆力以及耐力的综合考量!如果你没这个勇气或者说你不想这么做,那么你的技术将永远不会提升,你也将永远的被进不到“大师”的行列! 第二步:打开“...
分析定位问题思路
weixin_34266504的博客
03-28 496
一、查看现场 查看现场包括如下几个步骤: 1、快照分析 功能:观察程序当前的状态 场景:检查程序当前是否处于整体异常状态 举例:gdb、Xmap、mat、jstack     Dump的时候系统容易挂掉,因此在JVM里加了个参数,在OOM的时候自动dump内存:-XX:+HeapDumpOnOutOfMemeryError    参见:http://ifeve.com/one...
查看电脑的用户登录日志
weixin_30603633的博客
05-27 1527
https://www.howtogeek.com/124313/how-to-see-who-logged-into-a-computer-and-when/ 1.首先配置windows记录用户登录行为 打开gpedit.msc 2.在event viewer中查看 转载于:https://www.cnblogs.com/chucklu/p/6911564...
查看用户登录系统的日志
系统运维
10-24 1523
有两类日志记录用户登录的行为,一是记录登录者的数据,一个是记录用户登录时间 一,记录用户登录数据 /var/log/wtmp日志文件记录用户登录的数据。但这个文件是被编码的文件,不能直接用vi、cat等命令查看,可以用last命令读取。每一次登录就会产生一条记录,包括用户名、登录端、时间跨度等信息,如下: [root@bogon ~]# last root pts/1 ...
查看、保存window 系统日志
黄彪博客
09-07 4989
在windows中使用一些软件,如果出现崩溃 或者像查看系统运行情况,可以查看操作系统日志     大小: 14.8 KB
Kali渗透测试:Windows事件管理工具wevtutil的使用方法
Bruce_xiaowei的博客
05-19 4186
Kali渗透测试:Windows事件管理工具wevtutil使用方法 渗透测试者发现可以利用事件日志(event logging)的方式来启动某一个程序。Windows系统对事件操作的工具就是Windows系统自带的wevtutil.exe(windows event utility),使您能够检索有关事件日志和发布者的信息。您还可以使用此命令安装和卸载事件清单、运行查询以及导出、存档和清除日志。 1. 语法(Syntax) wevtutil [{el | enum-logs}] [{gl | get-l
web获取当前计算机域信息,【域渗透】获取域环境内用户登录信息
weixin_35582180的博客
07-26 1449
之前见到有人在讨论域内用户在域内的机器ip怎么查呢,集思广益,结合答复及自己的观点,总结了以下内容。0x00 adfind有时候管理员会设置域用户只可以登录指定的的域内计算机,使用 adfind或者 powerview导出域用户信息可以查看;12345678查看域内用户详细信息:adfind.exe -h DNS_SERVER_IP -sc u:rcoil(目标用户)adfind.exe -h D...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值