主頁 >  其他 > 網路安全學習:內網滲透案例,打破滲透瓶頸

網路安全學習:內網滲透案例,打破滲透瓶頸

2021-09-06 07:30:13 其他

前言

這又是一個關于域內基礎概念與原理的系列

Active Directory 的查詢基礎語法

BaseDN

BaseDN 即基礎可分辨名稱,其指定了這棵樹的根,比如指定 BaseDN 為DC=whoamianony,DC=org就是以DC=whoamianony,DC=org為根往下搜索,類似于在檔案系統中指定了一個根目錄:

image.png

2021最新整理網路安全\滲透測驗/安全學習(全套視頻、大廠面經、精品手冊、必備工具包)一>戳我拿<一

若指定 BaseDN 為CN=Computers,DC=whoamianony,DC=org那么就是以CN=Computers,DC=whoamianony,DC=org為根往下搜索

過濾規則

LDAP 搜索過濾器語法有以下邏輯運算子:

運算子說明
&AND 運算子
OR 運算子
!NOT 運算子
=用與名稱和值做相等比較
*通配符

下面舉幾個例子

(uid=testuser):匹配 uid 屬性為 testuser 的所有物件

(uid=test*):匹配 uid 屬性以 test 開頭的所有物件

(!(uid=test*)):匹配 uid 屬性不以 test 開頭的所有物件

(&(department=1234)(city=Paris)):匹配 department 屬性為1234且city屬性為Paris的所有物件

(|(department=1234)(department=56*)):匹配 department 屬性的值剛好為1234或者以56開頭的所有物件,

一個需要注意的點就是運算子是放在前面的,跟我們之前常規思維的放在中間不一樣,

LDAP 查找中的按位搜索

在 LDAP 里面,有些屬性欄位是位欄位,這里以 userAccountControl 舉例,其記錄了用戶的 AD 賬號的很多屬性資訊,該欄位就是一個的位欄位,之所以說 userAccountControl 是一個位欄位,是因為它是由一個個位構成:

Property flagValue in hexadecimalValue in decimal
SCRIPT0x00011
ACCOUNTDISABLE0x00022
HOMEDIR_REQUIRED0x00088
LOCKOUT0x001016
PASSWD_NOTREQD0x002032
PASSWD_CANT_CHANGE0x004064
ENCRYPTED_TEXT_PWD_ALLOWED0x0080128
TEMP_DUPLICATE_ACCOUNT0x0100256
NORMAL_ACCOUNT0x0200512
INTERDOMAIN_TRUST_ACCOUNT0x08002048
WORKSTATION_TRUST_ACCOUNT0x10004096
SERVER_TRUST_ACCOUNT0x20008192
DONT_EXPIRE_PASSWORD0x1000065536
MNS_LOGON_ACCOUNT0x20000131072
SMARTCARD_REQUIRED0x40000262144
TRUSTED_FOR_DELEGATION0x80000524288
NOT_DELEGATED0x1000001048576
USE_DES_KEY_ONLY0x2000002097152
DONT_REQ_PREAUTH0x4000004194304
PASSWORD_EXPIRED0x8000008388608
TRUSTED_TO_AUTH_FOR_DELEGATION0x100000016777216

比如一個賬戶,他的 userAccountControl 屬性只有 LOCKOUT 和 NOT_DELEGATED 這兩個位有值,其他的位都沒有,那這個用戶的 userAccountControl 屬性的值就為 0x100000+0x0010,是個32 位 INT 型別,

現在,如果我要搜索域內所有設定了 NOT_DELEGATED 位的所有物件,那么像之前那樣簡單的 LDAP 搜索語法肯定是不行了,因為簡單的 LDAP 搜索語法只能對某個屬性進行過濾,還不能對屬性里面的某個具體的位進行過濾,這就引出了 LDAP 的按位搜索,

LDAP 的按位搜索的語法如下:

<屬性名稱>:<BitFilterRule-ID>:=<十進制比較值>

其中的<BitFilterRule-ID>指的是位過濾規則所對應的 ID,大致內容如下:

位過濾規則OID
LDAP_MATCHING_RULE_BIT_AND1.2.840.113556.1.4.803
LDAP_MATCHING_RULE_OR1.2.840.113556.1.4.804
LDAP_MATCHING_RULE_TRANSITIVE_EVAL1.2.840.113556.1.4.1941
LDAP_MATCHING_RULE_DN_WITH_DATA1.2.840.113556.1.4.2253

比如我們查詢域內所有設定了 NOT_DELEGATED 位的所有物件,NOT_DELEGATED 對應的十進制比較值位 1048576,那么根據語法,我們便可以構造以下過濾語法:

(userAccountControl:1.2.840.113556.1.4.803:=1048576)

Active Directory 訪問查詢工具

ADSI 編輯器

ADSI Edit(AdsiEdit.msc)是一個 Microsoft Windows Server 工具,可用于通過 Active Directory 活動目錄服務介面(ADSI)查看和編輯原始 Active Directory 目錄服務屬性,ADSI Edit 適用于編輯 Active Directory 中的單個物件或少量物件,ADSI Edit 不具備搜索功能,因此,必須預先知道要編輯的物件及其在 Active Directory 中的位置,

在域控中(普通域成員主機沒有 ADSI 編輯器)執行 adsiedit.msc 打開 ADSI 編輯器,“操作” —> “連接” 即可:

image.png

LDP

LDP 是微軟自帶的一款域內資訊查詢工具,在域控中執行 ldp 即可打開 LDP,普通域成員主機默認是沒有LDP的,可以自行上傳 ldp.exe 工具上去,

打開 LDP 后,輸入域控的 IP 和 389 埠進行連接:

image.png

然后點擊 “連接” —> “系結”,輸入賬號密碼進行認證:

image.png

image.png

然后再點擊 “查看” —> “數”,輸入一個 BaseDN 基礎可分辨名稱,指定這棵樹的根,便可以用指定 BaseDN 作為根根往下搜索了,這里的 BaseDN 可以參照如下:

DC=whoamianony,DC=org
CN=Users,DC=whoamianony,DC=org
CN=Builtin,DC=whoamianony,DC=org
CN=Computers,DC=whoamianony,DC=org
CN=Deleted Objects,DC=whoamianony,DC=org
OU=Domain Controllers,DC=whoamianony,DC=org
CN=ForeignSecurityPrincipals,DC=whoamianony,DC=org
......

比如這里我們輸入 BaseDN 為DC=whoamianony,DC=org,則 LDP 會以DC=whoamianony,DC=org為根往下搜索:

image.png

image.png

如果想要查看某個條目的資訊,則 “右鍵” —> “搜索”,即可對指定的 BaseDN 進行過濾搜索:

image.png

image.png

Active Directory Explorer

Active Directory Explorer(AD Explorer)是微軟的一款域內資訊查詢工具,它是獨立的可執行檔案,無需安裝,它能夠列出域組織架構、用戶賬號、計算機賬號等,它可以幫助你尋找特權用戶和資料庫服務器等敏感目標,

我們可以使用 AD Explorer 工具連接域控來訪問活動目錄,它可以方便的幫助用戶進行瀏覽 Active Directory 資料庫、自定義快速入口、查看物件屬性、編輯權限、進行精確搜尋等操作,如下,在域內任意一臺主機上,以域用戶身份進行連接即可:

image.png

image.png

Adfind

AdFind一款 C++ 撰寫的域內查詢資訊的命令列工具,在域滲透里面的出場率極高,還有一個叫做 Admod ,可以修改,使用方法如下:

AdFind.exe [switches] [-b basedn] [-f filter] [attr list]

-b:指定指定一個 BaseDN 基礎可分辨名稱作為查詢的根節點

-f:LDAP 過濾條件

attr list:需要顯示的屬性

# 搜索 whoamianony.org 域下 objectcategory=computer 的所有物件,會顯示出所有物件以及物件的所有屬性
Adfind.exe -b dc=whoamianony,dc=org -f "objectcategory=computer"

# 搜索 whoamianony.org 域下 objectcategory=user 的所有物件,會顯示出所有物件以及物件的所有屬性
Adfind.exe -b dc=whoamianony,dc=org -f "objectcategory=user" 

image.png

# 搜索 whoamianony.org 域下 objectcategory=computer 的所有物件,過濾出 name 和 operatingSystem 屬性
Adfind.exe -b dc=whoamianony,dc=org -f "objectcategory=computer" name operatingSystem

# 搜索 whoamianony.org 域下 objectcategory=user 的所有物件,過濾出 cn 和 createTimeStamp 屬性
Adfind.exe -b dc=whoamianony,dc=org -f "objectcategory=user" cn createTimeStamp</pre>

image.png

image.png

更多查詢命令:

Adfind.exe -f objectclass=trusteddomain    # 信任關系
Adfind.exe -sc u:<username>    # 查詢指定用戶
Adfind.exe -sc getacls -sddlfilter ;;;;; -recmute    # 匯出整個域的 ACL
Adfind.exe -sc u:<username> objectSid    # 查詢指定用戶的 SID
Adfind.exe -f "(&(objectCategory=person)(objectClass=user))"    # 查詢所有用戶
Adfind.exe -sc dclist    # 查詢域控制器串列
Adfind.exe -schema -s base objectversion    # 查詢域控制器版本
Adfind.exe -sc gpodmp    # 匯出域內所有的 GPO
Adfind.exe -b "dc=whoamianony,dc=org" -f "mobile=*" mobile mail displayName title -s Subtree -recmute -csv mobile    # 匯出域內所有的手機號為 csv 格式
Adfind.exe -b "dc=whoamianony,dc=org" -f "mail=*" mail displayName title -s Subtree -recmute -csv mobile    # 匯出域內所有的郵箱為 csv 格式
Adfind.exe -b "dc=whoamianony,dc=org" -f "&(servicePrincipalName=*)(admincount=1)" servicePrincipalName    # 查詢域內高權限的 SPN 服務主體名稱
Adfind.exe -b "dc=whoamianony,dc=org" -f "useraccountcontrol:1.2.840.113556.1.4.803:=4194304" -dn    # 查找域內所有開啟了 "Do not require Kerberos preauthentication" 選項的用戶

并且 Adfind 還給我們提供了一個快捷的按位查詢方式,可以直接用來代替那些復雜的 BitFilterRule-ID:

位過濾規則OIDAdfind BitFilterRule
LDAP_MATCHING_RULE_BIT_AND1.2.840.113556.1.4.803:AND:
LDAP_MATCHING_RULE_OR1.2.840.113556.1.4.804:OR:
LDAP_MATCHING_RULE_TRANSITIVE_EVAL1.2.840.113556.1.4.1941:INCHAIN:
LDAP_MATCHING_RULE_DN_WITH_DATA1.2.840.113556.1.4.2253:DNWDATA:

如下實體:

Adfind.exe -b dc=whoamianony,dc=org -f "(userAccountControl:AND:=524288)" -bit -dn

image.png

LDAP 查找中的 objectClass 和 objectCategory

objectClass

在物件的 objectClass 屬性里面,可以看到這個物件是哪一個類的實體,以及這個類所繼承的所有父類,例如,域內主機CN=EWS,CN=Computers,DC=whoamianony,DC=org這個條目的objectClass屬性的值中包括 top、person、organizationalPerson、user 和 computer:

image.png

根據類的繼承關系可知,該物件是 computer 類的一個實體,而 computer 是 user 的子類,user 是 organizationalPerson 的子類,organizationalPerson 是 person 的子類,person 是 top 的子類,那么我們通過以下過濾語法都可以找到這個物件:

(objectClass=organizationalPerson)

由于所有的類都是 top 類的子類,所以當我們使用(objectClass=top)陳述句進行過濾時,域內所有的物件都可以搜索到

objectCategory

物件類的每個實體還具有一個 objectCategory 屬性,該屬性是一個單值屬性,并且建立了索引,其中包含的值為該實體物件的類或該類所繼承的父類之一的專有名稱,如下所示,

image.png

域內主機CN=EWS,CN=Computers,DC=whoamianony,DC=org這個條目的objectCategory屬性的值為CN=Computer,CN=Schema,CN=Configuration,DC=whoamianony,DC=org,如果我們想過濾所有 objectCategory 的屬性為CN=Computer,CN=Schema,CN=Configuration,DC=whoamianony,DC=org的物件,使用以下語法即可:

(objectCategory=CN=Computer,CN=Schema,CN=Configuration,DC=whoamianony,DC=org)

image.png

但是這樣的話需要記住完整的 DN,為了方便,物件所屬的類中還有一個 lDAPDisplayName 屬性,用于指定該類所顯示的名稱,我們可以看到,物件CN=EWS所屬的類存盤在CN=Computer,CN=Schema,CN=Configuration,DC=whoamianony,DC=org中,里面有一個 lDAPDisplayName 屬性的值正是 computer:

image.png

而且, LDAP 是支持直接使用類的 lDAPDisplayName 屬性作為條件進行搜索的,所以如果我們想要查找所有 objectCategory 的屬性為CN=Computer,CN=Schema,CN=Configuration,DC=whoamianony,DC=org的物件,可以直接用 lDAPDisplayName 屬性的值代替那一長串 DN:

(objectCategory=computer)

image.png

二者查詢效果相同,

2021最新整理網路安全\滲透測驗/安全學習(全套視頻、大廠面經、精品手冊、必備工具包)一>戳我拿<一

由于 objectCategory 建立索引,所以查詢時間比較快,在對 Active Directory 進行查詢時可以將二者結合使用以提高查詢效率,

Ending…

轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/297771.html

標籤:其他

上一篇:house of pig詳解

下一篇:靶機DC-8(詳細滲透,適合新手滲透)

標籤雲
其他(157675) Python(38076) JavaScript(25376) Java(17977) C(15215) 區塊鏈(8255) C#(7972) AI(7469) 爪哇(7425) MySQL(7132) html(6777) 基礎類(6313) sql(6102) 熊猫(6058) PHP(5869) 数组(5741) R(5409) Linux(5327) 反应(5209) 腳本語言(PerlPython)(5129) 非技術區(4971) Android(4554) 数据框(4311) css(4259) 节点.js(4032) C語言(3288) json(3245) 列表(3129) 扑(3119) C++語言(3117) 安卓(2998) 打字稿(2995) VBA(2789) Java相關(2746) 疑難問題(2699) 细绳(2522) 單片機工控(2479) iOS(2429) ASP.NET(2402) MongoDB(2323) 麻木的(2285) 正则表达式(2254) 字典(2211) 循环(2198) 迅速(2185) 擅长(2169) 镖(2155) 功能(1967) .NET技术(1958) Web開發(1951) python-3.x(1918) HtmlCss(1915) 弹簧靴(1913) C++(1909) xml(1889) PostgreSQL(1872) .NETCore(1853) 谷歌表格(1846) Unity3D(1843) for循环(1842)

熱門瀏覽
  • 網閘典型架構簡述

    網閘架構一般分為兩種:三主機的三系統架構網閘和雙主機的2+1架構網閘。 三主機架構分別為內端機、外端機和仲裁機。三機無論從軟體和硬體上均各自獨立。首先從硬體上來看,三機都用各自獨立的主板、記憶體及存盤設備。從軟體上來看,三機有各自獨立的作業系統。這樣能達到完全的三機獨立。對于“2+1”系統,“2”分為 ......

    uj5u.com 2020-09-10 02:00:44 more
  • 如何從xshell上傳檔案到centos linux虛擬機里

    如何從xshell上傳檔案到centos linux虛擬機里及:虛擬機CentOs下執行 yum -y install lrzsz命令,出現錯誤:鏡像無法找到軟體包 前言 一、安裝lrzsz步驟 二、上傳檔案 三、遇到的問題及解決方案 總結 前言 提示:其實很簡單,往虛擬機上安裝一個上傳檔案的工具 ......

    uj5u.com 2020-09-10 02:00:47 more
  • 一、SQLMAP入門

    一、SQLMAP入門 1、判斷是否存在注入 sqlmap.py -u 網址/id=1 id=1不可缺少。當注入點后面的引數大于兩個時。需要加雙引號, sqlmap.py -u "網址/id=1&uid=1" 2、判斷文本中的請求是否存在注入 從文本中加載http請求,SQLMAP可以從一個文本檔案中 ......

    uj5u.com 2020-09-10 02:00:50 more
  • Metasploit 簡單使用教程

    metasploit 簡單使用教程 浩先生, 2020-08-28 16:18:25 分類專欄: kail 網路安全 linux 文章標簽: linux資訊安全 編輯 著作權 metasploit 使用教程 前言 一、Metasploit是什么? 二、準備作業 三、具體步驟 前言 Msfconsole ......

    uj5u.com 2020-09-10 02:00:53 more
  • 游戲逆向之驅動層與用戶層通訊

    驅動層代碼: #pragma once #include <ntifs.h> #define add_code CTL_CODE(FILE_DEVICE_UNKNOWN,0x800,METHOD_BUFFERED,FILE_ANY_ACCESS) /* 更多游戲逆向視頻www.yxfzedu.com ......

    uj5u.com 2020-09-10 02:00:56 more
  • 北斗電力時鐘(北斗授時服務器)讓網路資料更精準

    北斗電力時鐘(北斗授時服務器)讓網路資料更精準 北斗電力時鐘(北斗授時服務器)讓網路資料更精準 京準電子科技官微——ahjzsz 近幾年,資訊技術的得了快速發展,互聯網在逐漸普及,其在人們生活和生產中都得到了廣泛應用,并且取得了不錯的應用效果。計算機網路資訊在電力系統中的應用,一方面使電力系統的運行 ......

    uj5u.com 2020-09-10 02:01:03 more
  • 【CTF】CTFHub 技能樹 彩蛋 writeup

    ?碎碎念 CTFHub:https://www.ctfhub.com/ 筆者入門CTF時時剛開始刷的是bugku的舊平臺,后來才有了CTFHub。 感覺不論是網頁UI設計,還是題目質量,賽事跟蹤,工具軟體都做得很不錯。 而且因為獨到的金幣制度的確讓人有一種想去刷題賺金幣的感覺。 個人還是非常喜歡這個 ......

    uj5u.com 2020-09-10 02:04:05 more
  • 02windows基礎操作

    我學到了一下幾點 Windows系統目錄結構與滲透的作用 常見Windows的服務詳解 Windows埠詳解 常用的Windows注冊表詳解 hacker DOS命令詳解(net user / type /md /rd/ dir /cd /net use copy、批處理 等) 利用dos命令制作 ......

    uj5u.com 2020-09-10 02:04:18 more
  • 03.Linux基礎操作

    我學到了以下幾點 01Linux系統介紹02系統安裝,密碼啊破解03Linux常用命令04LAMP 01LINUX windows: win03 8 12 16 19 配置不繁瑣 Linux:redhat,centos(紅帽社區版),Ubuntu server,suse unix:金融機構,證券,銀 ......

    uj5u.com 2020-09-10 02:04:30 more
  • 05HTML

    01HTML介紹 02頭部標簽講解03基礎標簽講解04表單標簽講解 HTML前段語言 js1.了解代碼2.根據代碼 懂得挖掘漏洞 (POST注入/XSS漏洞上傳)3.黑帽seo 白帽seo 客戶網站被黑帽植入劫持代碼如何處理4.熟悉html表單 <html><head><title>TDK標題,描述 ......

    uj5u.com 2020-09-10 02:04:36 more
最新发布
  • 2023年最新微信小程式抓包教程

    01 開門見山 隔一個月發一篇文章,不過分。 首先回顧一下《微信系結手機號資料庫被脫庫事件》,我也是第一時間得知了這個訊息,然后跟蹤了整件事情的經過。下面是這起事件的相關截圖以及近日流出的一萬條資料樣本: 個人認為這件事也沒什么,還不如關注一下之前45億快遞資料查詢渠道疑似在近日復活的訊息。 訊息是 ......

    uj5u.com 2023-04-20 08:48:24 more
  • web3 產品介紹:metamask 錢包 使用最多的瀏覽器插件錢包

    Metamask錢包是一種基于區塊鏈技術的數字貨幣錢包,它允許用戶在安全、便捷的環境下管理自己的加密資產。Metamask錢包是以太坊生態系統中最流行的錢包之一,它具有易于使用、安全性高和功能強大等優點。 本文將詳細介紹Metamask錢包的功能和使用方法。 一、 Metamask錢包的功能 數字資 ......

    uj5u.com 2023-04-20 08:47:46 more
  • vulnhub_Earth

    前言 靶機地址->>>vulnhub_Earth 攻擊機ip:192.168.20.121 靶機ip:192.168.20.122 參考文章 https://www.cnblogs.com/Jing-X/archive/2022/04/03/16097695.html https://www.cnb ......

    uj5u.com 2023-04-20 07:46:20 more
  • 從4k到42k,軟體測驗工程師的漲薪史,給我看哭了

    清明節一過,盲猜大家已經無心上班,在數著日子準備過五一,但一想到銀行卡里的余額……瞬間心情就不美麗了。最近,2023年高校畢業生就業調查顯示,本科畢業月平均起薪為5825元。調查一出,便有很多同學表示自己又被平均了。看著這一資料,不免讓人想到前不久中國青年報的一項調查:近六成大學生認為畢業10年內會 ......

    uj5u.com 2023-04-20 07:44:00 more
  • 最新版本 Stable Diffusion 開源 AI 繪畫工具之中文自動提詞篇

    🎈 標簽生成器 由于輸入正向提示詞 prompt 和反向提示詞 negative prompt 都是使用英文,所以對學習母語的我們非常不友好 使用網址:https://tinygeeker.github.io/p/ai-prompt-generator 這個網址是為了讓大家在使用 AI 繪畫的時候 ......

    uj5u.com 2023-04-20 07:43:36 more
  • 漫談前端自動化測驗演進之路及測驗工具分析

    隨著前端技術的不斷發展和應用程式的日益復雜,前端自動化測驗也在不斷演進。隨著 Web 應用程式變得越來越復雜,自動化測驗的需求也越來越高。如今,自動化測驗已經成為 Web 應用程式開發程序中不可或缺的一部分,它們可以幫助開發人員更快地發現和修復錯誤,提高應用程式的性能和可靠性。 ......

    uj5u.com 2023-04-20 07:43:16 more
  • CANN開發實踐:4個DVPP記憶體問題的典型案例解讀

    摘要:由于DVPP媒體資料處理功能對存放輸入、輸出資料的記憶體有更高的要求(例如,記憶體首地址128位元組對齊),因此需呼叫專用的記憶體申請介面,那么本期就分享幾個關于DVPP記憶體問題的典型案例,并給出原因分析及解決方法。 本文分享自華為云社區《FAQ_DVPP記憶體問題案例》,作者:昇騰CANN。 DVPP ......

    uj5u.com 2023-04-20 07:43:03 more
  • msf學習

    msf學習 以kali自帶的msf為例 一、msf核心模塊與功能 msf模塊都放在/usr/share/metasploit-framework/modules目錄下 1、auxiliary 輔助模塊,輔助滲透(埠掃描、登錄密碼爆破、漏洞驗證等) 2、encoders 編碼器模塊,主要包含各種編碼 ......

    uj5u.com 2023-04-20 07:42:59 more
  • Halcon軟體安裝與界面簡介

    1. 下載Halcon17版本到到本地 2. 雙擊安裝包后 3. 步驟如下 1.2 Halcon軟體安裝 界面分為四大塊 1. Halcon的五個助手 1) 影像采集助手:與相機連接,設定相機引數,采集影像 2) 標定助手:九點標定或是其它的標定,生成標定檔案及內參外參,可以將像素單位轉換為長度單位 ......

    uj5u.com 2023-04-20 07:42:17 more
  • 在MacOS下使用Unity3D開發游戲

    第一次發博客,先發一下我的游戲開發環境吧。 去年2月份買了一臺MacBookPro2021 M1pro(以下簡稱mbp),這一年來一直在用mbp開發游戲。我大致分享一下我的開發工具以及使用體驗。 1、Unity 官網鏈接: https://unity.cn/releases 我一般使用的Apple ......

    uj5u.com 2023-04-20 07:40:19 more