根据 EventID 4624 获取用户配置文件上次登录时间。Win32_UserProfile 提供 LastUseTime 属性，如果系统需要访问该属性，系统会更改该属性。 源代码：

在做境外的项目中，经常发现很多网站的数据库有触发器，记录一下 SQL Server 禁用触发器查询 SQL Server 为我们提供了一种禁用触发器的本机方法，如下面的语法所示： DISABLE TRIGGER { [ schem...

什么是 AS-REP Roasting？ AS-REP Roasting 是一种技术，使攻击者能够窃取禁用 Kerberos 预身份验证的用户帐户的密码哈希，然后他们可以尝试离线破解。 启用预身份验证后，需要访问资源的用户通...

介绍两种不同的攻击方法： 身份验证降级 -> 破解LDAP 中继 -> 基于资源的约束委派 (RBCD) 当 LmCompatibilityLevel 注册表项设置为 0、1 或 2 时，可能会发生这些类型的攻击。这可以通过系统本...

1.发现信任 第一步是找出存在哪些信任。有几种方法可以做到这一点，但我们将通过 PowerShell 使用的两种方法是 PowerSploit 框架和Active Directory PowerShell 模块。 对于我们找到的每个信任...

谁可以执行 DCSync 攻击？ 运行 Mimikatz DCSync 需要具有执行域复制权限的帐户。这由域上设置的复制更改权限控制。拥有 Replicating Changes All 或 Replicating Directory Changes 权限将允许...

默认情况下，如何防止域用户默认登录到Active Directory网络中加入域的每台计算机。 在Active Directory中创建新用户时，默认情况下此用户是域用户组的成员，如下所示。 AD 组域用户默认是加入...

如果已在主机上授予本地管理员访问权限并且计算机是“域管理员”组的成员，则在红队操作期间不遵循域中计算机帐户的最小权限原则可以用于域升级。这是通过使用主机的机器帐户使用传递哈希技术访...