导出域内信息 当在域渗透的过程中,如果只获得了一个有效的普通域用户,可以有很多工具很多方式连接LDAP进行查询信息,比如:adfind、adexplorer、ldapsearch等等。...但是如何将活动目录中指定的信息导出到本地离线进行查看呢?本文讲解通过csvde和LDAPDomainDump两种方式导出活动目录中指定的信息到本地进行本地离线查看。...Valentine's Day 01 csvde导出 导出域内所有用户的指定属性到 C:\windows\temp\info.csv文件中 csvde -d "DC=xie,DC=com" -r "(...,telephoneNumber,mail,objectSid,pwdLastSet,whenCreated" -f C:\windows\temp\info.csv -u -s xie.com 导出域内所有用户的所有属性到当前目录的...在活动目录域中,任何一个有效的域用户均可以通过LDAP协议来查询域内大量的信息。如通过adexplorer、adfind等工具连接查询。但是这类工具只能实时连接查询,无法将所有数据导出。
前言 有这样一种场景,拿到了一台主机权限,是本地管理员,同时在这台主机上登录的是域管成员,这时我们可以通过dump lsass或通过 Kerberos TGT ,但是这是非常容易被edr命中的。...token list 我们可以获取当前主机上所有的token并列出,因为我们此时拥有本地管理员权限,通过Debug #include #include #include...,在执行RevertToSelf函数之前都会以模拟令牌的权限进行运行 假设我们此时模拟了域管权限,即可添加一个域内账户(域管账户) 这个代码实际就是通过ImpersonateLoggedOnUser...本地管理员和域管实际上是两个完全隔离的session。...然后可以通过新起的cmd,来模拟域管的权限。
前言 域内权限维持的方法总结如下: DSRM 利用基于资源的约束委派进行域权限维持 Delegation Golden Ticket 利用域用户登陆脚本 万能密码(Skeleton-Key) 黄金票据...AD 节点的系统管理员密码,意思就是可以从新设置DC管理员的密码,在红队作战中,如果我们拿到了DSRM帐户的密码,就算哪天域管权限丢失,我们也可以把域内任意用户的密码同步到 DSRM 账户上[这里包括了...--DSRM账户是域控的本地管理员账户,并非域的管理员帐户,存储在SAM文件中,所以DSRM密码同步之后并不会影响域的管理员帐户,另外,在下一次进行DSRM密码同步之前,NTLM的值一直有效,且更改域内的...利用原理:给DC或者krbtgt 设置我们控制的主机资源的基于资源的委派,那么就能控制DC,达到权限维持的目的。...,不然就会拒绝访问 3.查看是否设置成功 Get-ADUser krbtgt -Properties PrincipalsAllowedToDelegateToAccount 也可以通过ActiveDirectory
MSF 下域内渗透实战 先获取域内机器session ?...3. 2.net view net view /domain //查看自己的有几个域 注:一般 net view 服务器有简单的备注信息如下: \\dns dnsserver \\sqldata sqlserver...爆破局域网中存在数据库服务器的主机 由于 2008 默认安全口令策略, 口令强度比较强 ,这个扫描就算吧 4.键盘记录+3389 登入记录 这个记录了 在线管理员的 键盘记录~ 可以用 msf 的试试...最后将 msf 的进程转移到 explorer.exe .这样可以正常键盘记录了 不转移可能有一些莫名情况 ps //查看到 exploer.exe 进程为 3804 migrate 3804 //注入进程...为了能够获取到域管理员的凭证我们需要用域管理员登录一下远程桌面。 ?
收集域内DNS信息 使用活动目录集成的DNS服务,任何域内用户都有权限查询域内所有的DNS记录。在活动目录数据库内,所有的DNS数据都存储在如下条目中 里面的每一个条目,都是域内的一个DNS记录。...由于IP地址实际上是作为此对象的属性存储的,因此也不可能查看这些记录的IP地址。但是,就像任何用户都可以默认创建新的DNS记录一样,任何用户也可以在默认情况下列出DNS区域的子对象。...adidnsdump 这是一个用pythoh实现的查询域内DNS记录的脚本,直接使用如下命令即可安装。 安装完成后,即可使用。使用时需提供一个有效的域用户名密码即可。...SharpAdidnsdump 这是一个用C#实现的查询域内DNS记录的工具,在域内机器使用,直接指定域控ip即可使用。...PowerView.ps1脚本 这是一个功能强大的powershell脚本,位于PowerSploit内。其查询DNS记录功能如下:
利用ADExplorer导出域内信息 在域渗透的过程中,往往需要导出域信息进行分析。本文演示通过ADExplorer导出域内信息本地解析后导入BloodHound,来进行域内信息的分析。...01 BOOK 使用ADExplorer导出域内数据 域内机器 在域内机器可以直接利用ADExplorer执行如下命令将域信息导出成.dat文件格式 ADExplorer.exe -snapshot..."" result.dat /accepteula 非域内机器 首先,使用ADExplorer利用有效账号密码连接ldap。
www.softpedia.com/get/Programming/Other-Programming-Files/AdFind.shtml 0x02 常用命令 列出域控制器名称: AdFind -sc dclist 查看域控版本...: AdFind -users name 查询指定域(luckysec.cn)内所有用户(所有属性): Adfind.exe -b dc=luckysec,dc=cn -f "objectcategory...=user" 查询域内所有GPO信息: AdFind -sc gpodmp 查看受保护AD域账户: Adfind -f "&(objectcategory=person)(samaccountname...=*)(admincount=1)" -dn 查看域管账户: AdFind -default -f "(&(|(&(objectCategory=person)(objectClass=user))(...objectCategory=group))(adminCount=1))" -dn 查看指定域(luckysec.cn)内非约束委派主机: AdFind.exe -b "DC=luckysec,DC
域内权限解读 目录 域本地组 全局组 通用组 A-G-DL-P策略 内置组 几个比较重要的域本地组 几个比较重要的全局组、通用组的权限 域本地组 多域用户访问单域资源(访问同一个域) 可以从任何域添加用户账户...、通用组和全局组,但只能在其所在域内指派权限。...域本地组不能嵌套于其他组中。它主要是用于授予位于本域资源的访问权限。 全局组 单域用户访问多域资源(必须是一个域里面的用户) 只能在创建该全局组的域中添加用户和全局组。可以在域森林的任何域内指派权限。...几个比较重要的域本地组 管理员组(Administrators):该组的成员可以不受限制地存取计算机/域内的资源。它不仅是最具权利的一个组,也是在活动目录和域控制器中默认具有管理员权限的组。...企业系统管理员组(Enterprise Admins):该组是域森林根域中的一个组。该组在域森林中的每个域内都是Administrators组的成员,因此对所有域控制器都有完全访问权。
Cost是0 同理,其他路由器不再赘述 SPF计算时,先根据自己产生的1类LSA Link-Type P2P、Link-Type TransNet、Link-Type V-Link找到邻居,画出树干节点,再查看其它路由器产生的
前言 域委派是指将域内用户的权限委派给服务账户,使得服务账号能够以用户的权限在域内展开活动。...攻击与利用方式 查找域内配置非约束委派的主机和用户: ? ?...注:在Windows系统中,只有服务账号和主机账号的属性才有委派功能,普通用户默认是没有的 根据原理,我们可以诱导管理员访问我们开启了unconstrained delegation服务主机,那么我们就可以拿到域管理员的...1.这是需要配合域控上的打印机服务,值得注意的事Print Spooler服务默认是自动运行的 2.还得是一台主机账户并且开启了非约束委派域内机器的权限 #注:是主机账户开启非约束委派,而不是服务用户...2.默认域控的ms-DS-MachineAccountQuota属性设置允许所有域用户向一个域添加多达10个计算机帐户,就是说只要有一个域凭据就可以在域内任意添加机器账户。 ? END ? ?
在拿到一台域环境内主机权限时,第一步要做的不是对内网进行扫描,探测等大规模攻击行为,而是通过一些内置命令获取域中的基本信息,本文主要以 powershell 命令为主要工具来了解如何获取域内信息,获取什么信息...主要功能是:帮助域控制器把其他域包含本域的资料收集起来,便于客户端查询。...每一个加入域的主机,都会在域控上有所记录,包括很多详细的信息,比如创建时间、修改时间、密码策略、操作系统版本信息等。...False TrustedToAuthForDelegation : False UserPrincipalName : 可以修改 PrimaryGroupID 的值为 515 来获取域控中的其他主机信息...: S-1-5-21-1581655573-3923512380-696647894-1602 UserPrincipalName : 总结 以上就是使用 powershell 获取域内基本信息的方式
委派概述: 域委派是指将域内用户的权限委派给服务账号,使得服务账号能以用户的权限在域内展开活动。 简言之:当A访问服务B时,服务B拿着A用户的凭证去访问服务C,这个过程称为委派。...在域内只有主机账号和服务账号才有委派属性 主机账号:活动目录中的computers组内的计算机,也被称为机器账号。...非约束委派+spooler打印机 费约束委派常规利用感觉还是比较鸡肋,想得到域内权限必须要管理员与配置了委派的机器建立连接,所以有国外的大佬研究出了非约束委派+spooler打印机来强制与指定的主机进行连接...同样可以通过用户的sid查看哪些域机器是通过自己加入到域内的: AdFind.exe -b "DC=hiro,DC=com" -f "(&(samAccountType=805306369)(mS-DS-CreatorSID...klist查看缓存票证 ? 访问域控 ?
本文主要给大家介绍一下域间NAT和域内NAT,让我们直接开始!...域内NAT(内网访问内网) 域内NAT是指报文的源地址和目的地址属于相同的安全区域。一般情况下,域内NAT会与NAT Server配合使用,而单独配置域内NAT的情况较少见。...双向NAT 域间NAT和域内NAT与NAT Server配合使用时,可以实现双向NAT。在配置域间NAT和域内NAT时,有一个前提是合理设置安全区域的级别并规划网络。...下面是一些常见厂商设备的配置示例: 域间域内NAT配置 以下是域间NAT和域内NAT配合NAT Server的拓扑示意图: 在上述拓扑中,安全区域A表示高安全级别的区域,包含了内网服务器和内网用户。...域间NAT适用于不同安全区域间的地址转换,而域内NAT适用于相同安全区域内的地址转换。通过合理设置安全区域的级别并规划网络,可以确保安全性和网络通信的顺畅性。
本文主要给大家介绍一下域间NAT和域内NAT,让我们直接开始!...域内NAT(内网访问内网)域内NAT是指报文的源地址和目的地址属于相同的安全区域。一般情况下,域内NAT会与NAT Server配合使用,而单独配置域内NAT的情况较少见。...双向NAT域间NAT和域内NAT与NAT Server配合使用时,可以实现双向NAT。在配置域间NAT和域内NAT时,有一个前提是合理设置安全区域的级别并规划网络。...下面是一些常见厂商设备的配置示例:域间域内NAT配置图片以下是域间NAT和域内NAT配合NAT Server的拓扑示意图:图片在上述拓扑中,安全区域A表示高安全级别的区域,包含了内网服务器和内网用户。...域间NAT适用于不同安全区域间的地址转换,而域内NAT适用于相同安全区域内的地址转换。通过合理设置安全区域的级别并规划网络,可以确保安全性和网络通信的顺畅性。
当获取了一台在域内的Windows服务器权限,就需要我们尽可能地去收集所能获取到的域的相关信息,收集的域的信息越多,拿下域控的成功率越高。...ipconfig /all 命令 systeminfo 命令 (2)查看当前登录域及域用户 net config workstation (3)域服务器都会同时作为时间服务器,所以使用下面命令判断主域...nslookup/ping 域名,解析到域控服务器IP地址 (2)查看域控制器的机器名 nltest /DCLIST:test.com (3)查看域控制器 net group "Domain Controllers..." /domain 3、获取域内用户和管理员 (1)查询域内所有用户组列表 net group /domain (2)查询域管理员列表 net group "Domain Admins" /domain...下载地址: https://github.com/chrisdee/Tools/tree/master/AD/ADFindUsersLoggedOn 使用域用户执行,查看域中所有计算机的登录用户:
查看主机列表 [root@controller ~]# openstack host list Host Name Service Zone controller scheduler internal...internal controller consoleauth internal node3 compute nova node1 compute nova node2 compute nova 进行查看...node1主机资源 [root@controller ~]# openstack host show node1 Host Project CPU Memory MB Disk GB node1 (total
最近在Windows服务器上安装OpenSSH,意外发现了一个很有意思的技巧,可用来做域内权限维持,废话不多说,直接上步骤。...(3)这个时候,我们可以使用任意一个域用户登录认证,即可获取服务器shell权限。...这个点就很有意思了,试想一下,一台域内的服务器安装了openssh,如果不进行用户登录控制,任意一个域内用户可通过密码认证登录ssh获取shell权限。...02、可能存在的利用场景 (1)假设你拿到了一个域内普通用户的权限,而恰巧探测到某台Windows域内服务器安装OpenSSH,你可以考虑尝试用域用户登录ssh,可能会有意外的惊喜。...(2)假设你已经获取了域内某台服务器的权限,你可以考虑使用OpenSSH结合私钥免密码登录的方式完成域内管理员权限维持,不也是一种权限维持的好办法嘛。
/password:Password1234 /domain:purple.lab /dc:dc.purple.lab /nopac /nowrap 查看票证大小可以理解域控制器很容易受到攻击,因为...serviceprincipalname" 通过执行以下命令也可以从Powermad和SetMachineAccountAttribute 函数中修改sAMAccountName属性值以指向域控制器主机名...: Set-MachineAccountAttribute -MachineAccount "PentestLab" -Value "dc" -Attribute "samaccountname" 查看活动目录中的属性...mPassword Password123 /service cifs /ptt" 访问域控制器的C$文件夹将验证缓存到内存中的服务票证是否已提升 dir \\dc.purple.lab\c$ 非域内主机...扫描程序脚本将枚举ms-DS-MachineAccountQuota 属性并将从所有可用的域控制器获取票证授予票证,工单大小也将显示在控制台中,以便快速识别易受攻击的目标,在下面的示例中与发出带有PAC的票证的主机
---- 域内横向移动分析及防御 前言 本篇继续阅读学习《内网安全攻防:渗透测试实战指南》,本章系统的介绍了域内横向移动的主要方法,复现并剖析了内网域方面最重要、最经典的漏洞,同时给出了相应的防范方法...防范 Windows Server 2012开始默认关闭WDigest,使攻击者无法从内存中获取明文密码 2012以下版本,如果安装KB2871997补丁,同样效果 WDigest功能状态可以在注册表中查看修改...将Administrator从Debug组中移除 三、哈希传递攻击 哈希传递PTH(Pass the Hash)攻击: 在域环境中,用户登录计算机时使用的大都是域账号,大量计算机在安装时会使用相同的本地管理员账号和密码...邮箱服务器、客户端访问服务器、集线传输服务器是核心角色,只要部署这三个角色就能提供基本的电子邮件处理功能,且这三个可以部署在同一台主机上。...基于端口扫描发现(nmap) SPN查询(在安装Exchange时,SPN就被注册在AD中了) Exchange数据库的后缀为“.edb”,存储在Exchange服务器上,使用PowerShell可以查看相应信息
如果是域内主机,操作系统,应用软件,补丁、服务、杀毒软件一般都是批量安装的。...wmic startup get command ,caption 6.查看计划任务 schtasks /query /fo LIST /v 7.查看主机开机时间 net statistics workstation...二、 探测域内存活主机 内网存活主机探测是内网渗透测试中不可缺少的一个环节。...computers" /domain 获得所有域成员计算机列表 net view 查询同一域内机器 net view /domain 查询域列表 net view /domain:domainname...time /domain------>列出该域内域控制器 总结:域内信息收集的方法是进行域内渗透最重要的一步,在域内进行快速收集有用信息是内网渗透的关键。
领取专属 10元无门槛券
手把手带您无忧上云