关注波哥 项目概述 ADRecon 是一款面向Active Directory环境设计的开源审计工具,通过高效提取和整合AD基础设施中的各类数据,生成多维度的环境态势报告。...创新性的低权限运行机制允许使用普通域用户账户执行核心功能模块,针对需要特权访问的特定功能(如细粒度密码策略解析、LAPS及BitLocker恢复密钥提取),则支持通过权限升级实现完整功能覆盖。...通过集成Microsoft Remote Server Administration Tools(RSAT)与LDAP协议的双模通信架构,ADRecon能够从域控制器获取包括用户体系、群组架构、设备信息...: 全局密码策略与细粒度密码策略(FGPP)比对分析 密码属性深度检测(实验性模块) 域控制器检测: 域控制器清单、SMB协议版本及签名支持状态 FSMO角色分布拓扑 身份体系扫描: 用户属性全量采集、...DNS区域记录解析、网络打印设备发现 计算机资产画像构建、设备SPNs检测 LAPS密码管理审计、BitLocker恢复密钥提取 安全态势评估: 全域对象访问控制列表审计(ACLs,含DACLs/SACLs
域内所有查询都通过域控制器(DC)实现,而这个查询会自动使用Kerberos协议进行认证,无须输入账号密码。...:存在域,但当前用户不是域用户 找不到域WORKGROUP的域控制器:不存在域 $ net time /domain 探测域内存活主机 NetBIOS探测 nbtscan.exe:一个命令行工具,用于扫描目标网络中开放的...的列表(从“\\DC”中)。...包括本地用户、通过RDP登陆的用户、用于运行服务和计划任务的用户。...通过SMB从远程服务器提取进程列表,可以知道目标主机运行哪些软件。
user - 查找目录中的用户 dsquery quota - 查找目录中的配额 dsquery partition - 查找目录中的分区 dsquery * - 用通用的 LDAP 查询查找目录中的任何对象...DC 的列表(从“\\DC”中)。...如果没有指定,则从当前域中提取主机列表 -g group 指定搜索的组名。...其原理为:从user.HomeDirectories中提取所有用户,并对每个服务器进行Get-NetSession获取。...: 获取域默认策略或域控制器策略 Invoke-UserHunter: 获取域用户登陆的计算机信息及该用户是否有本地管理员权限 Invoke-ProcessHunter: 通过查询域内所有的机器进程找到特定用户
该工具提供了一种灵活的方式来帮助研究人员通过“加入域”或“不加入域”的场景来与活动目录进行交互。 除此之外,该工具还能够针对特定的域和域控制器进行渗透测试。...然后,所有启用的域用户都会根据其密码策略(按优先级顺序)进行分类,并标记为安全或不安全。此时,SharpHose还可以根据广大研究人员提供的可选排除列表来筛选其余用户。...LDAP 活动目录密码喷射使用了LDAP协议,其特性如下: 异步密码喷射速度更快; 支持“加入域”或“不加入域”的场景下实现密码喷射; 紧密继承了域密码策略和细粒度密码策略; 防止智能锁定,出于安全因素考虑...,锁定阈值设定为了n-1; 可选择喷射到特定域和域控制器; 可查看所有受密码策略影响的用户; 工具下载 广大研究人员可以使用下列命令将该项目源码克隆至本地: git clone https://github.com...Strike用户 确保在使用SharpHose之前,添加了—auto参数来避免SharpHose中的一些额外交互提醒。
在他的文章“Gone to the Dogs”中,Elad Shamir 概述了一种通过利用自定义 Windows 锁定屏幕的能力,以非特权用户身份获取“基于 HTTP 的计算机帐户 NetNTLM 身份验证...域控制器不得配置为强制执行 LDAP 签名和 LDAP 通道绑定(默认设置) 受害计算机必须安装并运行“webclient”服务(默认安装在 Windows 10 上) 必须允许用户自定义 Windows...我们可以利用“SharpView” 实用程序通过执行程序集从域对象中读取“ms-ds-machineaccountquota”属性。下面给出了执行此操作的示例命令。...为了避免遇到这个问题,我们必须通过使用 SOCKS 将 Impacket 代理到主机来执行完整的网络登录。...在不支持这些措施的情况下,防御者可能会构建一个运行第三方应用程序的已知主机列表。可以调查与此已知基线的任何偏差,以识别潜在的 LDAP 中继攻击。
因为这些查询命令本质上都是通过 LDAP 协议去域控制器上查询的,查询时候需要经过权限认证,只有域用户才有这个权限,所以本地用户是无法运行以下命令的(system 权限用户除外。...从user.HomeDirectories 中提取所有用户,并对每个服务器进行 Get-NetSessions 获取。...2:查询域控制器的域用户会话 查询域控制器的域用户会话,其原理是:在域控制器中查询域用户会话列表,并将其与域管理员列表进行交叉引用,从而得到域管理员会话的系统列表。...2.1:查询域控制器列表 可以使用LDAP查询从Domain Controlles单元中收集的域控制器列表。也可以使用net命令查询域控制器列表。...2.2:收集域管理员列表 可以使用LDAP进行查询。也可以使用net命令,从域管理员组中收集域管理员列表。 net group "Domain Admins" /domain ?
关于ADRecon ADRecon是一款功能强大的活动目录安全研究与信息收集工具,该工具可以帮助广大研究人员从目标活动目录环境中提取和整合各种信息,这些信息能够以特殊格式的Microsoft Excel...该工具支持在任何连接到目标环境/工作站的设备上运行,甚至可以从非域成员的主机运行。...除此之外,该工具可以在非特权(即标准域用户)帐户的上下文中执行,而细粒度密码策略、LAPS和BitLocker可能需要特权用户帐户。...值得一提的是,该工具将使用Microsoft远程服务器管理工具(RSAT)实现其部分功能,如果RSAT不可用,则使用LDAP与域控制器通信。 ...、计算机和组对象的ACL(DACL和SACL); 21、GPOReport; 22、Kerberoast和用于服务帐户的域帐户; 工具要求 必要要求 1、.NET Framework 3.0
关于BloodyAD BloodyAD是一款功能强大的活动目录提权框架,该框架可以通过bloodyAD.py实现手动操作,或通过结合pathgen.py和autobloody.py来实现自动化提权以及活动目录安全检测任务...该框架支持NTLM(使用密码或NTLM哈希)和Kerberos身份验证,并绑定到域控制器的LDAP/LDAPS/SAMR服务以获得活动目录权限。...该工具可以对域控制器执行特定的LDAP/SAMR调用,以获取和执行活动目录权限。...可用的功能函数列表 [bloodyAD]$ python bloodyAD.py -h usage: bloodyAD.py [-h] [-d DOMAIN] [-u USERNAME] [-p PASSWORD...通过TLS使用LDAPUse (默认为LDAP) --host HOST DC的主机名或IP地址 (例如: my.dc.local or 172.16.1.3) Command
而此攻击链中攻击者删除了数据包中阻止从SMB转发到LDAP的标志。...4.构造请求使Exchange Server向攻击者进行身份验证, 并通过LDAP将该身份验证中继到域控制器,即可使用中继受害者的权限在Active Directory中执行操作。...3.CVE-2019-1040漏洞的实质是NTLM数据包完整性校验存在缺陷,故可以修改NTLM身份验证数据包而不会使身份验证失效。而此攻击链中攻击者删除了数据包中阻止从SMB转发到LDAP的标志。...接着这里可以看到,ntlmrelayx.py通过ldap将该用户账户中继到域控服务器(DC),设置了test$到dm辅助域控制器的约束委派授权 发起test$到dm的s4u,通过-impersonate...接着就为域控制器办法证书了,在域控制器中创建一个request.inf的文件,里面的CN=填写DC的完整名称,文件的内容如下: [Version] Signature="$Windows NT$"
文章前言 在渗透测试中信息收集的深度与广度以及对关键信息的提取,直接或间接的决定了渗透测试的质量,本篇文章主要对内网中信息收集做一个简单的归纳以及介绍 主机信息 在内网渗透测试中,当我们拿下一台或多台可控的主机...用户列表 执行如下命令,查看本机用户列表,通过分析本机用户列表,可以找出内部网络机器名的命名规则,特别是个人机器,可以推测出整个域的用户命名方式: net user ?...查询域主机 通过执行以下命令来查看当前域内有多少台主机,以及主机的主机名信息: ? 查询域用户 通过执行以下命令来查看域内所有用户组列表信息 net group /domain ?...---- 寻找目录中的组织单位 dsquery site ----- 寻找目录中的站点 dsquery server ----- 寻找目录中的域控制器 dsquery...基本原理是:域内的所有查询都是通过域LDAP协议去域控制器进行查询的,而这个查询需要经过权限认证,所以只有域用户才拥有这个权限,当域用户运行查询命令时,会自动使用Kerberos协议进行认证,无须额外输入账号和密码
文章前言 在渗透测试中信息收集的深度与广度以及对关键信息的提取,直接或间接的决定了渗透测试的质量,本篇文章主要对内网中信息收集做一个简单的归纳以及介绍 主机信息 在内网渗透测试中,当我们拿下一台或多台可控的主机...用户列表 执行如下命令,查看本机用户列表,通过分析本机用户列表,可以找出内部网络机器名的命名规则,特别是个人机器,可以推测出整个域的用户命名方式: net user ?...从上面我们可以看到域名信息以及DNS的地址信息,之后我们可以通过反向解析查询命令nslookup来解析域名的IP地址,使用解析出来的IP地址进行对比,判断域控制器和DNS服务器是否在同一台服务器上,如下图所示...查询域用户 通过执行以下命令来查看域内所有用户组列表信息 net group /domain ? 查找域控 a、通过执行以下命令来查看域控 Nslookup -type=SRV _ldap....---- 寻找目录中的组织单位 dsquery site ----- 寻找目录中的站点 dsquery server ----- 寻找目录中的域控制器 dsquery
将所有输出重定向到指定的文件 -d filename.txt:指定要提取主机列表的域。...如果没有指定,则从当前域中提取主机列表 -g group:指定搜索的组名。...:只需要进行一次查询,就可以获取域里面的所有用户,使用方法为,从user.HomeDirectories中提取所有用户,并对没太服务器进行Get-NetSession获取。...–type=SRV _ldap....收集域管列表 net group “Domain Admins” /domain 通过Netsess.exe查询每个域控制器,收集所有活动域会话的列表 Netsess.exe -help #获取帮助
攻击者首先会从他们已有的密码列表开始尝试,并以最脆弱的密码开始(“Fall2017”,“Winter2018”“123456”等)入手。...当密码开始喷洒时,往往会从列表中的第一个密码开始。第一个密码用于尝试对活动目录中的每个用户进行身份验证。...由于攻击者可以通过更改他们连接的服务来避免事件ID 4625被记录,所以我并不是连接到SMB,而是连接到域控制器上的LDAP服务的。这样一来,ID 4625就可能躲过记录。...上图显示当针对LDAP进行密码喷洒时,你是发现不了事件ID 4625的。 由于目前许多网络安防组织都会通过监控事件ID 4625,来保护网络。...密码喷洒发生在许多活动目录环境中,并且可以通过适当的日志记录启用和有效关联来检测。 检测的主要方法包括: 1.启用适当的日志记录: 1.1域控制器:事件ID 4625的“审计登录”(成功与失败)。
将所有输出重定向到指定的文件 -d filename.txt:指定要提取主机列表的域。...如果没有指定,则从当前域中提取主机列表 -g group:指定搜索的组名。...:只需要进行一次查询,就可以获取域里面的所有用户,使用方法为,从user.HomeDirectories中提取所有用户,并对没太服务器进行Get-NetSession获取。...Nslookup –type=SRV _ldap....收集域管列表 net group “Domain Admins” /domain 通过Netsess.exe查询每个域控制器,收集所有活动域会话的列表 Netsess.exe -help #获取帮助 -
域内的所有查询都是通过域控制器实现的(基于LDAP协议),而这个查询需要经过权限认证,所以,只有域用户才拥有这个权限;当域用户执行查询命令时,会自动使用Kerberos协议进行认证,无需额外输入账号和密码...中的域即域名、登陆服务器指的是域控制器。...LDAP协议到域控制器上进行查询的,故需要域用户的权限,本地用户无法运行(除非是System用户) 在默认情况下,Domain Admins 和 Enterprise Admins 对域内所有域控制器有完全控制权限...-e aaa.txt:指定要排除的主机名的文件 -o aaa.txt:将所有输出重定向到指定的文件 -d aaa.txt:指定要提取主机列表的域°如果没有指定’则从当前域中提取主机列表...十、查找域管理进程 在获取了管理员权限的系统中寻找域管理员登录进程,进而搜集域管理员的凭据 一个假设情况: 渗透测试人员在某个内网环境中获得了一个域普通用户的权限,首先通过各种方法获得当前服务器的本地管理员权限
从域的基本定义中我们可以看到,域模型的设计中考虑到了用户账号等资源的共享问题 2.3.1 域管理优点 因为所有的用户信息都被集中存储,所以,域提供了集中的管理。...域控制器是通过活动目录(AD)提供服务。例如,它负责维护活动目录数据库、审核用户的帐户与密码是否正确、将活动目录数据库复制到其他的域控制器。 活动目录的目录数据存储在域控制器内。...如果A域信任了B域,那么A域的域控制器将把B域的用户账号复制到自己的Active Directory中,这样A域内的资源就可以分配给B域的用户了。...部署软件 思路是把要部署的软件存储在文件服务器的共享文件夹中 然后通过组策略告知用户用户或计算机,某某服务器的某某文件夹有要安装的软件,赶紧去下载安装。...部署软件 思路是把要部署的软件存储在文件服务器的共享文件夹中 然后通过组策略告知用户用户或计算机,某某服务器的某某文件夹有要安装的软件,赶紧去下载安装。
,且选项名即为域名; net time /domain 执行该命令,有三种情况:第一种如果存在域会从域控返回时间,并在第一行返回域控及域名;第二种如果当前当前服务器在域内但当前用户非域用户,则会返回...controllers” /domain 获得域控制器列表 net group “domain computers” /domain 获得所有域成员计算机列表 net user /domain 获得所有域用户列表...获取域信任信息 需要注意的是本地用户是无法运行以上所说说的所有命令的,因为本质上所有查询都是通过ldap协议去域控制器上查询,这个查询需要经过权限认证,只有域用户才有这个权限。... 在内网渗透过程中,说白了就是不断进行信息收集,扩大攻击面,除了以上收集的信息外,我们最关注的也是当前服务器上的所有系统账号密码,这一般有三种情况,首先是服务器本地账户,其次是域用户,当然如果有狗屎运的话抓到域管的账号密码也不是没有可能的...system.hive & reg save hklm\security security.hive,将生成文件拖回本地使用creddump7从注册表提取mscash,命令为pwdump.py system.hive
查询识别网络中的服务器和域控制器。...图11.使用LDAP查询标识网络中域控制器的代码的屏幕截图 ?...图12.使用LDAP查询标识网络中不是域控制器的计算机的代码的屏幕截图 我们还发现,有使用“pysmb,”利用NT LM 0.12查询旧版Windows操作系统和IPC股可能SMB协议的实现。...systeminfo32模块 一旦成功安装在系统中,Trickbot将收集系统信息,如操作系统,CPU和内存信息,用户帐户,已安装程序和服务的列表。...其次,Trickbot监控用户是否访问其列表中的某些银行相关网站,例如C. Hoare&Co银行,圣詹姆斯广场银行和苏格兰皇家银行,并将用户重定向到假冒网络钓鱼网站。
一、 域信息收集 Active Directory是一个可以通过域控制器来管理连接在同一逻辑网络中的一组计算机和用户系统。...Windows域包含以下组件: LDAP:可以通过LDAP访问的数据库,并且该数据库实现了符合【MS-DRSR】及【MS-ADTS】规范的几种RPC。...AS:可以通过Kerberos、NTLM、Netlogon或者WDigest协议访问的身份认证服务器。 GPO:GPO的管理支持LDAP和SMB协议。...但是即使存在域环境,我们拿到的第一台计算机也不一定在域内,需要通过多种方式确定域控制器的位置,进而控制整个域。...kpasswd5,用于更改用户密码的Kerberos服务DNS(53端口):将DNS名称解析为IP地址的服务 1.3、在域内通过SAMR获取域控制器地址 使用net group "domain controllers
p=541 防: 安装检查KB3011780的安装 SPN扫描 Kerberoast可以作为一个有效的方法从Active Directory中以普通用户的身份提取服务帐户凭据,无需向目标系统发送任何数据包...LDAP从ADS获取SQL Server的列表,然后试图用当前域用户登陆每一个SQL Server。...使用Mimikatz的DCSync和相应的权限,攻击者可以通过网络从域控制器中提取密码散列以及以前的密码散列,而无需交互式登录或复制Active Directory数据库文件(ntds.dit) 运行DCSync...管理员,域管理员或企业管理员以及域控制器计算机帐户的任何成员都能够运行DCSync来提取密码数据。请注意,只读域控制器不仅可以默认为用户提取密码数据。 ?..." exit NTDS.DIT中提取哈希 从NTDS.DIT中提取哈希 提取出来的文件通过ntdsdump是无法提取的通过esedbexport来恢复。
云服务器
ICP备案
云直播
即时通信 IM
实时音视频
