当前位置:文档之家› AD维护管理工具详解(一)dcdiag

AD维护管理工具详解(一)dcdiag

AD维护管理工具详解(一)dcdiag
AD维护管理工具详解(一)dcdiag

AD维护管理工具详解(一)dcdiag

2010-11-03 11:30:26

标签:dcdiag工具详解维护管理

工具名称:DcDiag

工具出处:MS Support Tools

工具类型:命令行工具

当前环境:Win2003 SP1 + R2,DC

主要功能:

DcDiag是域控制器诊断工具,通过各种诊断测试,用来分析当前林或域中域控制器状态,生成相应的检测报告。DcDiag可以说是域控制器诊断全能工具,当DC出现问题却无法判断具体故障原因时,首选使用DcDiag工具对DC进行一次全面诊断,查看检测报告,从而缩小问题范围以及定位问题!

DcDiag工具由对系统的一系列测试和校验构成,可以根据用户的选择,针对不同的范围(林,域)对域控制器进行不同项目的诊断测试,主要测试项目有:

1:连通性

2:复制

3:拓朴完整性

4:检查NC Head安全描述符

5:检查登录权

6:获取DC位置

7:验证安全边界

8:验证FSMO角色

9:验证信任关系

10:DNS

一:DcDiag工具语法格式

DcDiag.exe /s: [/u:\ /p:*||""]

[/hqv] [/n:] [/f:]

[/ferr:]

[/skip:] [/test:]

二:主要参数说明:

/s:Domain Controller - 指定测试的DC,默认测试本机。

/n:Naming Context - 指定测试时关联的名称上下文。似乎只能使用域名称上下文,无法测试Schema,Configration等名称上下文。

域名称上下文可以使用域的DNS名称,NetBios名称或DN名称。

/u:Domain\Username /p: - 用指定的帐号密码连接DC,此时该帐号的密码为显示密码。

如:DcDiag /u:https://www.doczj.com/doc/a75387128.html,\administrator /p:1qa2ws3ed

/a - 测试当前站点所有DC

/e - 测试整个企业(整个林)中所有DC的状况

/q - 只显示错误信息

/v - 显示详细检测报告

/i - 忽略多余的错误信息

/fix - 仅对 MachineAccount 测试有影响。此参数会使测试过程对目录服务器的计算机帐户对象上的服务主体名称 (SPN) 进行修复

/f - 将信息报告输出到指定的文件

/ferr - 将致命错误输出重定向指定的文件

/c - 诊断除 DcPromo 和 RegisterInDNS 之外的所有测试项目,包括非默认的测试。

非默认测试项包括:拓扑,对方服务器是否关闭,安全通道输出范围以及DNS动态注册等。

/skip:Test - 指定不进行诊断的测试项,必须与/c配合使用。

/test:Test - 只运行单一测试项,但连通测试不跳过

具体测试项有:

Connectivity - 连通性。测试DC是否在DNS中登记注册,Ping测试以及LDAP/RPC的可用性。

Replications - 检测DC之间的复制情况

Topology - 检查KCC是否为所有DC生成完整的链接拓扑

CutoffServers - 检查因复制伙伴不可用而没有接受到的复制的DC

NCSecDesc - 检查在名称上下文头中的安全描述符是否有适当的复制权限

NetLogon - 检查是否有进行复制的适当登录权限

Advertising -检查每个DC是否已公告它自己能够执行的角色。如果Net Logon 服务停止或未能启动,则此测试将失败。

KnowsOfRoleHolders -检查DC是否可以与FSMO操作主机正常联系

Intersite - 检查会阻止或暂时中止站点间复制的故障,并尝试预测 KCC

能够恢复之前需要的时间。

FSMOCheck - 检查DC是否能联系密钥发行中心 (KDC)、时间服务器、首选时间服务器、主目录服务器(主域控制器 (PDC))和全局编录服务器。

RidManager - 检查是否可访问 RID 主机,以及 RID 主机是否包含正确的信息。

MachineAccount -检查机器的帐户是否包含正确信息。

如果本地计算机帐号丢失,使用

/RecreateMachineAccount进行尝试修复

如果本地计算机帐号标志不正确,使用

/FixMachineAccount进行尝试修复

Services - 检查DC服务是否在运行正常

OutboundSecureChannels 检查当前域中所有DC的安全通道。

ObjectsReplicated - 检查 Machine Account 和 DSA 对象是否已复制

frssysvol - 检查SYSVOL文件夹共享状态。

frsevent - 检查FRS是否存在错误记录

kccevent - 检查 KCC是否存在错误记录。

systemlog - 检查系统是否无错误运行。

DCPromo - 检查DC上的DNS记录是否正常

RegisterInDNS - 检查DC是否在DNS中注册

CrossRefValidation - 检查交叉引用是否有效

CheckSDRefDom - 检查目录分区的安全

VerifyReplicas - 检查复制服务器上目录分区的安全性

VerifyReference - 检查对于 FRS 和“复制”基础结构系统参数的正确与完整性

VerifyEnterpriseReferences - 检查整个企业范围内的所有DC上系统参数是否正确与完整

(Win2003 SP1新增功能)

CheckSecurityError - 检测可能会造成AD复制失败的安全配置

DNS - 检查整个企业内的DNS健康性。

DNS测试子项有:

/DnsBasic - 基本DNS测试,包括网络连接性、DNS客户端配置、服务可用性和区域存在性。

/DnsForwarders - /DnsBasic 测试,还检查转发器的配置

/DnsDelegation - /DnsBasic 测试,还检查委派配置

/DnsDynamicUpda te - /DnsBasic测试,还检查是否配置动态更新

/DnsRecordRegis tration - /DnsBasic测试,检查是否已注册A、CNAME和已知的SRV记录。此外,还根据结果创建清单报告

/DnsResolveExtNam e - /DnsBasic测试,还尝试解析指定的域名名称.

/DnsInternetName - /DnsBasic测试,还尝试解析指定域名

/DnsAll - 除了

/DnsResolveExtName外的所有DNS测试项

三:使用示例

DcDiag参数众多,且可以组合使用,下面只给出基本的使用示例,对用法做一简单描述。

1:最简单的用法,诊断当前DC状况

>DcDiag

2:测试当前DC的连通性

>dcdiag /s:vmtest /test:connetivity

3:测试整个林拓扑结构

>dcdiag /e /test:Topology

4:DCPromo参数用法。注:DcPromo主要是当使用AD安装向导或通过DCPromo命令安装AD出错时使用

测试是否可以在当前服务器上新建一个林

>dcdiag /test:dcpromo /dnsdomain:https://www.doczj.com/doc/a75387128.html, /newforest

测试是否可以在当前服务器上新建树>dcdiag

/test:DCpromo /dnsdomain:https://www.doczj.com/doc/a75387128.html, /newtree /forestRoot:https://www.doczj.com/doc/a75387128.html,

测试是否可以在当前服务器上新建子域

>dcdiag /test:dcpromo /dnsdomain:https://www.doczj.com/doc/a75387128.html, /childDomain

测试是否可以在当前服务器上安装辅助DC

>dcdiag /test:dcpromo /dnsdomain:https://www.doczj.com/doc/a75387128.html, /ReplicaDC

5:测试DC是否在DNS中注册

>Dcdiag /v /test:RegisterInDns /Dnsdomain:https://www.doczj.com/doc/a75387128.html,

6:DNS诊断

最简单用法,测试除/DnsResolveExtName之外的六项子测试

>dcdiag /test:dns

基本测试:执行基本 DNS 测试,包括网络连接性、DNS 客户端配置、服务可用性和区域存在性

>dcdiag /test:dns /DnsBasic

测试DnsBasic和转发器

>dcdiag /v /test:dns /dnsForwarders

测试DnsBasic和解析指定的域名

>Dcdiag /v /test:dns /dnsinternetname:https://www.doczj.com/doc/a75387128.html,

病毒样本分析实例

病毒样本分析实例 0×01事件经过 2016年2月26日,一个网络安全相关的QQ群内,一名用户分享了一份名为“网络安全宝典.chm”的电子书供大家下载,网络安全工程师Bfish自然地下载了这本电子书,打算简单翻阅后决定是否收藏。当Bfish打开这个才12K大小的电子书时,感知到了计算机的异常行为,这让他意识到:这本电子书有问题。 在解开这份CHM文档后,网络安全工程师在一个html页面中找到了原因:这个电子书中的某个HTML页面内,嵌入了一段恶意代码,它可以下载一个PowerShell脚本并执行。顺藤摸瓜,Bfish最终确认了这是一个针对特定人群,以盗取用户帐号密码、文档资料为目的恶意攻击事件。这段CHM恶意代码如同幽灵一样被执行并作恶,故将此称之为幽灵电子书(ChmGhost)。 0×02主要危害 通过电子书散播,攻击受众有很强的群体性,对特定人群发起攻击简直易如反掌,而且电子书“诱饵”更容易迷惑大众。 目前看到的攻击代码,主要的危害为窃取用户隐私:Windows账户信息 和密码、各类应用程序的密码、计算机基本信息、屏幕截图、网络配置 和Wi-Fi信息、各类文档,造成用户敏感信息和资料泄漏。这些资料的 泄漏伴随着商业机密泄漏的风险,后续或造成更大的损失。 另外,攻击时所用的恶意代码,无论是二进制还是脚本,几乎都来自网络下载,攻击可以随时开启和关闭,攻击手法、攻击目的也都可以变化,这个“后门”的潜在危害也相当之大。

2月26日发现的CHM的标题是网络安全相关的,并且在网络安全相关的QQ群内散播,表明攻击者的目标是网络安全从业和对网络安全感兴趣的、有一定计算机安全基础的群体,但就算如此,仅一天时间就已经有多名受害者,如果攻击者转到其他领域,受众群体应该会更没有感知能力,危害也将更大。 0×03攻击实施纵览 0×04详细技术分析

神器mimikatz使用详解

神器mimikatz使用详解 一.mimikatz简介 mimikatz是法国人Gentil Kiwi编写的一款windows平台下的神器,它具备很多功能,其中最亮的功能是直接从lsass.exe 进程里获取windows 处于active状态账号的明文密码。 mimikatz的功能不仅如此,它还可以提升进程权限,注入进程,读取进程内存等等,mimikatz包含了很多本地模块,更像是一个轻量级的调试器,其强大的功能还有待挖掘。 作者主页:https://www.doczj.com/doc/a75387128.html,/ 二.mimikatz基础命令 随便输入”xxx::”,会提示”modules:’xxx’ intr0uvable”,大概意思就是你输入的命令不存在,然后会列出所有可用的命令 所有的模块与命令,如下图(左边的是模块名称,右边的是描述):

1.cls 清屏 2.exit 退出 3.version 查看mimikatz的版本 4.help 查看帮助信息(全是法文,只能找google了) 5.system::user 查看当前登录的系统用户

6.system::computer 查看计算机名称 7.process::list 列出进程 8.process::suspend 进程名称暂停进程 QQ进程还在,只是QQ无法使用了。 9.process::stop 进程名称结束进程 10.process::modules 列出系统的核心模块及所在位置 11.service::list 列出系统的服务 12.service::remove 移除系统的服务

13.service::start stop 服务名称启动或停止服务 14.privilege::list 列出权限列表 15.privilege::enable 激活一个或多个权限 16.privilege::debug 提升权限 17.nogpo::cmd 打开系统的cmd.exe 18.nogpo::regedit 打开系统的注册表 19.nogpo::taskmgr 打开任务管理器 20.ts::sessions 显示当前的会话 21.ts::processes显示进程和对应的pid情况等 22.sekurlsa::wdigest 获取本地用户信息及密码

new_域渗透测试教程

域渗透测试教程(windows server2012) 乌云ID:大山的放羊娃 域渗透测试教程(windows server2012) (1) 前言 (2) 第一步反弹meterpreter (2) 第二步尝试提权windows server2012 (4) 第三步尝试当前账号Bypassuac测试 (5) 第四步相关信息收集 (6) 第五步信息分析,成功获取一台服务器权限 (8) 第六步域信息收集 (10) 第七步SMB快速扩张控制权限 (16) 第八步Poershell获取域控管理员在线的机器 (18) 第九步域控管理员权限的获取(windows2012权限) (20) 第十步域控我来了(msf psexec反弹shell) (22) 第十一步Meterpreter获取所有用户的hash (24) 第十二步曲折的探索之路 (25) 第十三步我轻轻的来了,我又轻轻的走了,管理员,再见(清理) (26) 总结 (27)

前言 内网渗透测试资料基本上都是很多大牛的文章告诉我们思路如何,但是对于我等小菜一直是云里雾里。于是使用什么样的工具才内网才能畅通无阻,成了大家一直以来的渴求。今天小菜我本着所有师傅们无私分享的精神,特将三年内求师傅,求妹子,求神器所得,经过整理后,关键的知识点写出来。相关知识点总结如下: ●免杀payload的生成,请使用Veil ●msf在meterpreter下的提权尝试 ●msf在meterpreter下的bypassuac尝试 ●内网渗透测试过程中的信息关联 ●meterpreter的路由添加以及相关扫描 ●Powershell在meterpreter下面的使用 ●Meterpreter的post模块使用 ●Msf的custom自己生成的payload的使用 ●进程注入窃取令牌 其实重点不在于知识的多少,大家只需关注比较重点的连接点。分享为了方便大家以后一起交流,一起学习,一起进步。首先shell是别人给我的,也不是这里介绍的重点,所以在此忽略。 渗透测试的环境详细如下: A堡垒机(webshell所在机器):windows server2012 B堡垒机:windows2008(powershell扫描机器) C堡垒机:有域管理进程的机器windows server2012 D堡垒机若干 第一步反弹meterpreter 其实每一次的渗透测试开始并不像我们想象的那么顺利,而这一次的开始也同样意味着

浅谈内网渗透

浅谈内网渗透 假设我们现在已经处在一个内网中,该内网处于域中。我们的终极目标是实现对域控制器的控制。 假设我们现在已经处在一个内网中,该内网处于域中。我们的终极目标是实现对域控制器的控制。 内网信息获取 信息的获取直接通过Windows自带的命令即可实现,简单写出来: ipconfig /all netstat –an net start net user net user /domain net group “domain admins” #查看域管理员 net localgroup administrators

net view /domain dsquery server #查看域控服务器 dsquery subnet #查看域IP范围 上述命令执行完,内网的信息基本上就获取的差不多了。个别命令根据个人爱好请自行增加减。 向域控出发 假设执行dsquery server的结果我们发现域控服务器为DC-2008和DC-2003两台,而我们执行命令的主机也是在域下的,那么我们可以直接WCE -w了,运气好的话明文密码直接出现在你眼前,另一个外国人写的神器叫mimikatz也能够获取明文密码,图我就不截了,大家自己动手吧! 如果运气好,那么恭喜,此时你已经域控管理员密码在手,域中随意可行走。使用域控管理员密码登录域控服务器,使用pwdump、fgdump等各种密码dump工具对整个域控的密码散列进行获取即可。 如果运气差,使用wce没有得到域管理员的密码,那么你可以尝试如下方式: Incognito Smb Wce –s欺骗 Sniffer + ARP 其他(玉在哪里?) Sniffer动静很大,不到最后建议还是不要尝试了。 结束语 此文仅以技术交流为目的,拒绝任何形式的攻击行为。 想了半天我决定还是在结束语前面加上上面这句话,渗透是个技术活,也是个艺术活,各种奇技妙巧尽在其中,同时环境也复杂多变,但万变不离其宗,以静制动,后发制人。

网络攻击与防御实验4解析

天津理工大学 计算机与通信工程学院 实验报告 2015 至2016 学年第一学期 课程名称网络攻击与防御技术 学号姓名20135632 王远志专业班级计算机科学与技术2班 实验实验名称实验4操作系统攻防 实验时间2015 年11 月21 日5~6 节 主讲教师张健辅导教师张健 分组人员 王远志完成实验 及各自完 成工作 实验目的 掌握操作系统攻击的方法,掌握缓冲区溢出的原理及实现过程。实验内容(应包括实验题目、实验要求、实验任务等)

实验方式:对靶机进行攻击。(现场公布靶机地址) 实验要求: (1)进行缓冲区溢出攻击 (2)进行管理员口令破解 (3)留下后门 (4)清除攻击痕迹 实验设备:PC机 实验分组:3-4人/组 完成时间:2学时 报告中包括程序原理、功能模块图及文字介绍、流程图、源代码(带注释),运行过程。 实验过程与实验结果(可包括实验实施的步骤、算法描述、流程、结论等) ②:使用MetaSploit 进行攻击。先查找漏洞对应的exploit,然后选择。 ③:查看漏洞配置信息,设置payload。 ④:设置IP,这里端口采用了默认值。

⑤:选择攻击系统类型,然后exploit。 ⑥:入侵成功后,我们得到了目标主机的shell。由于中文编码不支持,所以会有白色方框。 ⑦:进行用户创建和提权,开启telnet 服务。 如下图所示,在目标主机中查看,管理员用户创建成功。

Telnet 连接测试成功。 (1)进行管理员口令破解 由于这里我们直接进行了入侵提权,所以不需要管理员口令。关于对windows xp 的口令破解,可以使用pwdump7 对SAM 数据库文件中提取的hash 进行破解。提取的hash 我们需要去网站破解,或者用ophcrack 彩虹表自己跑密码。 Tip:这里在windows xp 下运行pwdump7,因为windows 7 的彩虹表没免费版的。 得到Hash: Administrator:500:AEBD4DE384C7EC43AAD3B435B51404EE:7A2199 0FCD3D759941E45C490F143D5F::: Guest:501:NO PASSWORD*********************:NO

获取电脑密码 明文密码 mimikatz 开机密码破解

昨天有朋友发了个法国佬写的神器叫mimikatz 让我们看下 神器下载地址: mimikatz_trunk.zip https://www.doczj.com/doc/a75387128.html,/wp-content/uploads/2012/02/mimikatz_trunk.zip 还有一篇用这个神器直接从lsass.exe 里获取windows处于active状态账号明文密码的文章https://www.doczj.com/doc/a75387128.html,/blog/mimikatz-tool-to-recover-cleartext-passwords-from-lsass 自己尝试了下用win2008 r2 x64 来测试 最后测试成功wdigest 就是我的明文密码

我还测过密码复杂度在14位以上 包含数字大小写字母特殊字符的密码 一样能抓出明文密码来 以前用wce.exe 或lslsass.exe 通常是只能从内存里顶多抓出active账号的lm hash 和ntlm hash 但用了这个神器抓出明文密码后 由此我们可以反推断在lsass.exe 里并不是只存有lm hash 和ntlm hash 而已 应该还存在有你的明文密码经过某种加密算法(注意: 是加密算法而不是hash算法加密算法是可逆的hash算法是不可逆的) 这样这个加密算法是可逆的能被解密出明文 所以进程注入lsass.exe 时所调用的sekurlsa.dll 应该包含了对应的解密算法 逆向功底比较好的童鞋可以尝试去逆向分析一下 然后这个神器的功能肯定不仅仅如此在我看来它更像一个轻量级调试器 可以提升进程权限注入进程读取进程内存等等 下面展示一个读取扫雷游戏的内存的例子

教你多姿势抓取Windows明文或Hash,快收藏!

教你多姿势抓取Windows明文或Hash,快收藏! 渗透测试,可用于测试企业单位内网的安全性,而获取Windows的明文或Hash往往是整个渗透测试过程中重要的一环,一旦某台机器的密码在内网中是通用的,那么该内网的安全性将会非常糟糕。 本期安仔课堂,ISEC实验室的李老师为大家介绍一些抓取Windows明文或Hash的方式。 一、mimikatz mimikatz是一款轻量级的调试神器,功能非常强大,其中最常用的功能就是抓取明文或Hash。 用法: mimikatz.exe"privilege::debug""sekurlsa::logonpasswords full""exit"

图1 另外,需要注意的是,当系统为win10或2012R2以上时,默认在内存缓存中禁止保存明文密码,如下图,密码字段显示为null,此时可以通过修改注册表的方式抓取明文,但需要用户重新登录后才能成功抓取。

图2 修改注册表命令: 图3 修改成功后,等用户下次再登录的时候,重新运行mimikatz,即可抓到明文密码,如需恢复原样,只需将上图REG_DWORD的值1改为0即可。

图4 二、Getpass Getapss是由闪电小子根据mimikatz编译的一个工具,可以直接获取明文密码,直接运行Getpass.exe即可。

图5 三、Wce Wce是一款Hash注入神器,不仅可以用于Hash注入,也可以直接获取明文或Hash。 抓明文:wce.exe-w

图6 抓Hash:wce.exe-l 图7 四、Powershell 当目标系统存在powershell时,可直接一句powershell代码调用抓取,前提是目标可出外网,否则需要将ps1脚本放置内网之中。 抓明文: 图8

相关主题
文本预览
相关文档 最新文档