用Powershell 批量dump内网token

在域渗透中有一种情况,就是知道一个用户名和密码通杀一定数量的机器,然后想通过这个用户名和密码去看看哪台机器有DA权限,然后获取。

以前WooYun Drops上也有文章讨论这些方法,这篇翻译和其中的5-ways-to-find-systems-running-domain-admin-processes

比如这篇文章里就是上面 tasklist的方法。

可是这些方法都有一个问题是只是看是否有DA用户登录,并没有办法检测到是否有DA用户的Token存在。
(注意上面的方法并不是全部都需要通杀的用户名和密码)

如何检测token
可以使用meterpreter,然后load incognito再list token。
也可以使用powersploit中的Invoke-TokenManipulation.ps1

如何批量
可以写bat 用psexec批量运行,也可以在metepreter中写rc或者rb脚本批量运行。

参考
https://www.trustedsec.com/january-2015/account-hunting-invoke-tokenmanipulation/

【via@五道口杀气