安基网 首页 安全 渗透测试 查看内容

域渗透神器-AD Explorer使用指南

2019-4-6 00:51| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: Mark Russinovich的Sysinternals工具(微软)大家都听说过。多年来,它们一直是系统管理员喜欢的工具。我也很喜欢这款工具,但我更喜欢的是AD Explorer,我一直使用它进行内部系统的测试和评估。首先需要一个域帐户 ( 任何一个域帐户都可以 ), 可以利用该账户与域控制器通信并用它枚举域。它能够列 ...

Mark Russinovich的Sysinternals工具(微软)大家都听说过。多年来,它们一直是系统管理员喜欢的工具。我也很喜欢这款工具,但我更喜欢的是AD Explorer,我一直使用它进行内部系统的测试和评估。

首先需要一个域帐户 ( 任何一个域帐户都可以 ), 可以利用该账户与域控制器通信并用它枚举域。它能够列出域组织架构,用户帐户,计算机帐户等。它可以帮助你寻找特权用户和数据库服务器等敏感目标。与Sysinternals工具一样,AD Explorer是独立的可执行文件,无需安装。因此,只要您在某个文件夹有写入权限,就可以从http://live.sysinternals.com下载运行这个工具。

如果没有写入权限或者不允许下载可执行文件,也可以直接从“运行”框或“资源管理器”窗口输入下面的UNC路径,在未下载文件到磁盘的情况下执行。

\\live.sysinternals.com\tools\ADExplorer.exe

点击可执行文件将其直接加载到内存中

让我们看几个示例。 首先找到有价值的目标,如下面的屏幕截图所示。在这里找到了CIO笔记本电脑。 可能每个人方法都不一样,但如果我知道CIO计算机的账户名,我会想办法登陆进去并从内存中拿到密码。 毕竟这是一个权限比较高的帐户。

可能还有其他有用的属性信息,比如“info”属性。 在下面的示例中,我们展示了实际测试中的某个域信息。 因为数据非常敏感,图片被打码了,这些信息提供给我很多社工的突破口(想想密码重置)!

如果想找到有价值的敏感服务器,可以看下服务器的名称。 因为服务器经常根据其功能命名。例如, 数据库服务器名称中经常带有“SQL”。

而AD Explorer中的搜索功能也非常出色,可以对大量数据进行分类,帮助你找到需要的内容。 例如,是否需要识别已禁用的帐户? 只需选择userAccountControl属性并搜索值514。(实际上,userAccountControl属性含有多个标志,其中一个标志是“禁用”标志,这里有多个值可以表示账户已禁用,一般这个值为514。)

如果你具有足够高的权限,则还可以添加和修改对象和属性。 虽然它的功能还是有限,但对内网渗透仍有很大帮助。 在下图中,我在测试域中为用户Grace添加了“Comment”属性。



并且这个工具还有保存快照的功能,你可以随时保存快照并在AD Explorer中将其打开查看。



查看快照不会改变目标系统任何设置,非常适合进行信息收集。

AD Explorer还可以比较两个快照的“差异”。在渗透测试前拍摄快照,如果内部人员更改了某些系统的密码,此时再拍摄一个快照,观察谁更改了密码或哪些已被禁用。虽然AD Explorer不能修改密码或将状态从禁用更改为启用,但可以很隐蔽的监视检查帐户禁用状态。

对于外部测试,如果要使用AD Explorer连接到服务器,则需要提供域帐户。 在shodan上针对两个常见的LDAP端口和包含“DC”的主机名进行搜索,会发现有很多服务器可以直接从互联网访问。

或者更进一步,再添加445端口,查找可能会受到SMB漏洞攻击的域控制器。 (注意:并非所有服务器都打开了这三个端口。)

如果域控服务器被成功控制,整个域中的服务器也将被控制。检查并确保你的服务器不在shodan的搜索结果之内。

!! 2018年5月新添加的提示和技巧!!

1.使用AD Explorer进行网络钓鱼

如果要从外部电子邮件地址向特定组发送有针对性的钓鱼邮件,则可以查询域信息以获取允许收到外部邮件的通讯组。 当 msExchRequireAuthToSendTo属性为False时,任何人都可以向该组发送邮件。

你还可以双击搜索结果中的组,然后检查组的成员属性以获取成员列表。 可以通过这种方式提取单个电子邮件地址,这么做比较麻烦,但这样可以使电子邮件中的收件人看起来更加可信。

2.从命令行创建快照

AD Explorer有图形化界面,但是图形化界面有时会报错。 你可以从shell中创建一个快照。将AD Explorer上传到目标服务器,并使用以下命令:

adexplorer.exe -snapshot "" mysnap.dat

或者以不写入文件的方式来执行:

\\live.sysinternals.com\tools\adexplorer.exe -snapshot "" snap.dat

你可以输入“adexplorer /?”来查看语法:

3.寻找特权账户

此外,如果你想寻找特权帐户,不要忘记检查Builtin Administrators组。 里面的帐户不一定是域管理员,但可能是可以访问域控制器的本地管理员!

4.寻找密码

在大多数域的模式中,有3-4个字段似乎很常见,UserPassword,UnixUserPassword,unicodePwd和msSFU30Password。 在大量测试中,我们发现这些字段中的一个或多个都代表了ACTUAL密码。 虽然有时会通过转换为ASCII十进制等值来进行混淆,但可以通过“man ascii”来进行破解。

以下是我们最近拍摄的快照示例。

上图中这两个密码相同,解码都为A B C D! e f g h 1 2 3 4 5 $ 6 7 8 9 0。如果你知道使用AD Explorer的任何其他提示或技巧,请联系我们。

谢谢!

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场

来源:https://nosec.org/home/detail/2432.html

原文:https://www.blackhillsinfosec.com/domain-goodness-learned-love-ad-explorer/

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6674870093727400459/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部