但是使用活动目录,如何管理入域计算机的本地管理员密码是企业IT运维管理员头疼的一件事,基数庞大且在处理故障时又确实需要本地管理员账号,以下我就介绍几种在企业中常见的域内计算机本地管理员账号管理方式,其中着重介绍...允许计算机在Active Directory中更新其自己的密码数据,并且域管理员可以向授权用户或组(如工作站服务台管理员)授予读取权限。...使用LAPS可以自动管理加入域的计算机上的本地管理员密码,以便每个受管计算机上的密码都是唯一的,是随机生成的,并且安全地存储在Active Directory基础结构中。...合格的用户可以请求更改计算机的密码。 ? LDAPS安装部署 1.安装LAPS.exe组件 ? 一般使用DC作为服务器端,安装时,务必不勾选第一项,防止策略误下发影响AD域管理员密码。...computerGroup-AllowedPrincipals willwang 设置willwang账号允许设置ComputerGroup的OU内的计算机本地管理员密码 Find-AdmPwdExtendedRights
导出域内信息 当在域渗透的过程中,如果只获得了一个有效的普通域用户,可以有很多工具很多方式连接LDAP进行查询信息,比如:adfind、adexplorer、ldapsearch等等。...Valentine's Day 01 csvde导出 导出域内所有用户的指定属性到 C:\windows\temp\info.csv文件中 csvde -d "DC=xie,DC=com" -r "(...,telephoneNumber,mail,objectSid,pwdLastSet,whenCreated" -f C:\windows\temp\info.csv -u -s xie.com 导出域内所有用户的所有属性到当前目录的...csvde -d "DC=xie,DC=com" -r "(&(objectcategory=person)(objectClass=user))" -f info.csv -u -s xie.com 导出域内所有组的所有属性到当前目录的...在活动目录域中,任何一个有效的域用户均可以通过LDAP协议来查询域内大量的信息。如通过adexplorer、adfind等工具连接查询。但是这类工具只能实时连接查询,无法将所有数据导出。
前言 有这样一种场景,拿到了一台主机权限,是本地管理员,同时在这台主机上登录的是域管成员,这时我们可以通过dump lsass或通过 Kerberos TGT ,但是这是非常容易被edr命中的。...,在执行RevertToSelf函数之前都会以模拟令牌的权限进行运行 假设我们此时模拟了域管权限,即可添加一个域内账户(域管账户) 这个代码实际就是通过ImpersonateLoggedOnUser...假设我们模拟nt authority\system执行 再模拟域管权限创建进程。 这时可以看到是一个黑窗,实际上这是跟session有关。...本地管理员和域管实际上是两个完全隔离的session。...然后可以通过新起的cmd,来模拟域管的权限。
前言 域内权限维持的方法总结如下: DSRM 利用基于资源的约束委派进行域权限维持 Delegation Golden Ticket 利用域用户登陆脚本 万能密码(Skeleton-Key) 黄金票据...AD 节点的系统管理员密码,意思就是可以从新设置DC管理员的密码,在红队作战中,如果我们拿到了DSRM帐户的密码,就算哪天域管权限丢失,我们也可以把域内任意用户的密码同步到 DSRM 账户上[这里包括了...--DSRM账户是域控的本地管理员账户,并非域的管理员帐户,存储在SAM文件中,所以DSRM密码同步之后并不会影响域的管理员帐户,另外,在下一次进行DSRM密码同步之前,NTLM的值一直有效,且更改域内的...admin hash 同步了 修改DSRM登陆方式,允许DSRM帐户远程访问: 需设置注册表项,如果没有,则新建,计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet...: 值得注意的是,基于资源的委派,必须是委派双方需资源,例如机器帐户,服务帐户什么的,不能是域用户,下面尝试使用设置域用户帐户设置基于资源的委派,发现能设置,但是实际上是用不了 获取test1域用户的sid
MSF 下域内渗透实战 先获取域内机器session ?...3.收集域环境信息+找到域控 利用msf 的端口转发功能来转发一下,然后登入对方的远程桌面看看。...收集域的信息: 3.1.ipconfig /all 找到域控地址192.168.88.130 ?...-068 进行普通域用户提权为域管理员权限 2.DNS 溢出 DNS 服务器可能就是域控 so… 3.弱口令爆破 弱口令+已经控制的服务器口令+ 将抓下的明文+一些常用弱口令。...为了能够获取到域管理员的凭证我们需要用域管理员登录一下远程桌面。 ?
收集域内DNS信息 使用活动目录集成的DNS服务,任何域内用户都有权限查询域内所有的DNS记录。在活动目录数据库内,所有的DNS数据都存储在如下条目中 里面的每一个条目,都是域内的一个DNS记录。...这是因为对计算机DNS记录的默认权限,这不允许所有用户看到内容。由于IP地址实际上是作为此对象的属性存储的,因此也不可能查看这些记录的IP地址。...adidnsdump 这是一个用pythoh实现的查询域内DNS记录的脚本,直接使用如下命令即可安装。 安装完成后,即可使用。使用时需提供一个有效的域用户名密码即可。...SharpAdidnsdump 这是一个用C#实现的查询域内DNS记录的工具,在域内机器使用,直接指定域控ip即可使用。...PowerView.ps1脚本 这是一个功能强大的powershell脚本,位于PowerSploit内。其查询DNS记录功能如下:
3,建立一个初始值为3(i = 3),最大值为传入参数的循环(i <= param),注意偶数不可能为指数,所以循环的时候直接去掉偶数,直接循环奇数(i += ...
利用ADExplorer导出域内信息 在域渗透的过程中,往往需要导出域信息进行分析。本文演示通过ADExplorer导出域内信息本地解析后导入BloodHound,来进行域内信息的分析。...01 BOOK 使用ADExplorer导出域内数据 域内机器 在域内机器可以直接利用ADExplorer执行如下命令将域信息导出成.dat文件格式 ADExplorer.exe -snapshot..."" result.dat /accepteula 非域内机器 首先,使用ADExplorer利用有效账号密码连接ldap。
=computer" 查询指定域(luckysec.cn)中所有计算机(所有属性): Adfind.exe -b dc=luckysec,dc=cn -f "objectcategory=computer..." 查询当前域中所有计算机(只显示名称和操作系统): AdFind -f "objectcategory=computer" name operatingSystem 查询当前域内所有用户: AdFind...-users name 查询指定域(luckysec.cn)内所有用户(所有属性): Adfind.exe -b dc=luckysec,dc=cn -f "objectcategory=user"...查询域内所有GPO信息: AdFind -sc gpodmp 查看受保护AD域账户: Adfind -f "&(objectcategory=person)(samaccountname=*)(admincount...=805306369)(userAccountControl:1.2.840.113556.1.4.803:=524288))" cn 查询指定域(luckysec.cn)内的非约束委派用户: AdFind.exe
OSPF路由器R1的LSDB同步完毕后,需要独立计算去往每个网段的最优路径 R1的Router ID 1.1.1.1 每台OSPF路由器都会为每个区域生成唯一一...
前言 域委派是指将域内用户的权限委派给服务账户,使得服务账号能够以用户的权限在域内展开活动。...攻击与利用方式 查找域内配置非约束委派的主机和用户: ? ?...1.这是需要配合域控上的打印机服务,值得注意的事Print Spooler服务默认是自动运行的 2.还得是一台主机账户并且开启了非约束委派域内机器的权限 #注:是主机账户开启非约束委派,而不是服务用户...(此属性的作用是控制哪些用户可以模拟成域内任意用户,然后向该计算机进行身份验证) 传统的约束委派:在ServiceA的msDS-AllowedToActOnBehalfOfOtherIdentity属性中配置了对...2.默认域控的ms-DS-MachineAccountQuota属性设置允许所有域用户向一个域添加多达10个计算机帐户,就是说只要有一个域凭据就可以在域内任意添加机器账户。 ? END ? ?
域内权限解读 目录 域本地组 全局组 通用组 A-G-DL-P策略 内置组 几个比较重要的域本地组 几个比较重要的全局组、通用组的权限 域本地组 多域用户访问单域资源(访问同一个域) 可以从任何域添加用户账户...、通用组和全局组,但只能在其所在域内指派权限。...例如:将用户张三(Z3)添加到域本地组 Administrators 中,并不能使Z3对非DC的域成员计算机拥有任何特权。...但若将Z3添加到全局组Domain Admins中,用户张三就成为了域管理员了(可以在全局使用,对域成员计算机拥有特权)。...几个比较重要的域本地组 管理员组(Administrators):该组的成员可以不受限制地存取计算机/域内的资源。它不仅是最具权利的一个组,也是在活动目录和域控制器中默认具有管理员权限的组。
委派概述: 域委派是指将域内用户的权限委派给服务账号,使得服务账号能以用户的权限在域内展开活动。 简言之:当A访问服务B时,服务B拿着A用户的凭证去访问服务C,这个过程称为委派。...在域内只有主机账号和服务账号才有委派属性 主机账号:活动目录中的computers组内的计算机,也被称为机器账号。...服务账号:域内用户的一种类型,是服务器运行服务时所用的账号,将服务运行起来加入域内,比如:SQLServer,MYSQL等;域用户通过注册SPN也能成为服务账号。...2.一个任意服务账户或者一个机器账户(每一个域用户都可以添加10个机器账户) 利用: 域:hiro.com 域控:WIN-KONG@192.168.228.10 域管:administrator 域内机器...:DESKTOP-P34E60A,win10把这台机器加入到域内 通过ADFind查找将域机器拉入域的用户的SID: AdFind.exe -b "DC=hiro,DC=com" -f "(&(samAccountType
在拿到一台域环境内主机权限时,第一步要做的不是对内网进行扫描,探测等大规模攻击行为,而是通过一些内置命令获取域中的基本信息,本文主要以 powershell 命令为主要工具来了解如何获取域内信息,获取什么信息...获取根域信息 PS C:> [System.DirectoryServices.ActiveDirectory.Forest]::GetCurrentForest() Name: lab.adsecurity.org...主要功能是:帮助域控制器把其他域包含本域的资料收集起来,便于客户端查询。...,都会在域控上有所记录,包括很多详细的信息,比如创建时间、修改时间、密码策略、操作系统版本信息等。...: S-1-5-21-1581655573-3923512380-696647894-1602 UserPrincipalName : 总结 以上就是使用 powershell 获取域内基本信息的方式
本文主要给大家介绍一下域间NAT和域内NAT,让我们直接开始!...域内NAT(内网访问内网) 域内NAT是指报文的源地址和目的地址属于相同的安全区域。一般情况下,域内NAT会与NAT Server配合使用,而单独配置域内NAT的情况较少见。...双向NAT 域间NAT和域内NAT与NAT Server配合使用时,可以实现双向NAT。在配置域间NAT和域内NAT时,有一个前提是合理设置安全区域的级别并规划网络。...下面是一些常见厂商设备的配置示例: 域间域内NAT配置 以下是域间NAT和域内NAT配合NAT Server的拓扑示意图: 在上述拓扑中,安全区域A表示高安全级别的区域,包含了内网服务器和内网用户。...域间NAT适用于不同安全区域间的地址转换,而域内NAT适用于相同安全区域内的地址转换。通过合理设置安全区域的级别并规划网络,可以确保安全性和网络通信的顺畅性。
本文主要给大家介绍一下域间NAT和域内NAT,让我们直接开始!...域内NAT(内网访问内网)域内NAT是指报文的源地址和目的地址属于相同的安全区域。一般情况下,域内NAT会与NAT Server配合使用,而单独配置域内NAT的情况较少见。...双向NAT域间NAT和域内NAT与NAT Server配合使用时,可以实现双向NAT。在配置域间NAT和域内NAT时,有一个前提是合理设置安全区域的级别并规划网络。...下面是一些常见厂商设备的配置示例:域间域内NAT配置图片以下是域间NAT和域内NAT配合NAT Server的拓扑示意图:图片在上述拓扑中,安全区域A表示高安全级别的区域,包含了内网服务器和内网用户。...域间NAT适用于不同安全区域间的地址转换,而域内NAT适用于相同安全区域内的地址转换。通过合理设置安全区域的级别并规划网络,可以确保安全性和网络通信的顺畅性。
当获取了一台在域内的Windows服务器权限,就需要我们尽可能地去收集所能获取到的域的相关信息,收集的域的信息越多,拿下域控的成功率越高。..." /domain 3、获取域内用户和管理员 (1)查询域内所有用户组列表 net group /domain (2)查询域管理员列表 net group "Domain Admins" /domain...工具包中的一个小程序,它显示本地登录的用户和通过本地计算机或远程计算机的资源登录的用户。...下载地址: https://github.com/chrisdee/Tools/tree/master/AD/ADFindUsersLoggedOn 使用域用户执行,查看域中所有计算机的登录用户:...05、查找域管理进程 通过域管理员列表与本机进程及进程用户进行对比,就可以找到域管理员所运行的进程。
最近在Windows服务器上安装OpenSSH,意外发现了一个很有意思的技巧,可用来做域内权限维持,废话不多说,直接上步骤。...(3)这个时候,我们可以使用任意一个域用户登录认证,即可获取服务器shell权限。...这个点就很有意思了,试想一下,一台域内的服务器安装了openssh,如果不进行用户登录控制,任意一个域内用户可通过密码认证登录ssh获取shell权限。...02、可能存在的利用场景 (1)假设你拿到了一个域内普通用户的权限,而恰巧探测到某台Windows域内服务器安装OpenSSH,你可以考虑尝试用域用户登录ssh,可能会有意外的惊喜。...(2)假设你已经获取了域内某台服务器的权限,你可以考虑使用OpenSSH结合私钥免密码登录的方式完成域内管理员权限维持,不也是一种权限维持的好办法嘛。
文章前言 与标准用户帐户相比计算机帐户的名称末尾附加了$符号,默认情况下Microsoft操作系统缺乏可以防止许多攻击的安全控制和强化措施,此外多年来已经证明Windows生态系统中许多事物工作方式可以通过利用现有功能和工作流程来实现滥用...,例如域控制器计算机帐户,Charlie Clark是第一个通过发布详细文章说明如何将这些漏洞武器化的人 在请求服务票证之前需要首先签发票证授予票证(TGT),当为密钥分发中心 (KDC)中不存在的帐户请求服务票证时...sAMAccountName属性值将强制KDC搜索域控制器的机器帐户并发出提升的服务票证代表域管理员 为了正确利用这种攻击进行域升级,用户需要拥有计算机帐户的权限才能修改sAMAccountName和servicePrincipalName...属性,可以创建机器帐户的用户具有修改这些属性所需的权限,默认情况下,域用户的机器帐户配额设置为 10,这允许用户在域上创建机器帐户,或者可以从作为机器帐户所有者的帐户的角度进行此攻击,通过sAMAccountName...,以确定是否可以在域中添加新计算机,然后将使用随机密码创建一个机器帐户,新计算机帐户的sAMAccountName 属性将被修改为包含域控制器计算机帐户的值,将请求提升票证并将其保存到缓存中,最后sAMAccountName
---- 域内横向移动分析及防御 前言 本篇继续阅读学习《内网安全攻防:渗透测试实战指南》,本章系统的介绍了域内横向移动的主要方法,复现并剖析了内网域方面最重要、最经典的漏洞,同时给出了相应的防范方法...将Administrator从Debug组中移除 三、哈希传递攻击 哈希传递PTH(Pass the Hash)攻击: 在域环境中,用户登录计算机时使用的大都是域账号,大量计算机在安装时会使用相同的本地管理员账号和密码...因此如果计算机的本地管理员账号和密码也是相同的,攻击者就能使用哈希传递攻击的方法登录内网中的其他计算机。...说白了就是使用工具将散列值传递到其他计算机中,进行权限验证,实现对远程计算机的控制 在实际测试中,更新KB287l997后无法使用常规的哈希传递方法进行横向移动,但Administrator账号(SID...(Win95及之后) 客户端程序对象能够对网络中的另一台计算机上的服务器程序对象发送请求 执行流程同样: 通过ipc$连接远程计算机 执行命令 1、通过本地DCOM执行命令 获取DCOM程序列表: //
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM
