域渗透技巧

最新推荐文章于 2024-04-13 06:00:00 发布
最新推荐文章于 2024-04-13 06:00:00 发布
阅读量642 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Gamma_lab/article/details/119452151
版权

内网域信息收集

SPN的发现

前言:

由于每台服务器都需要注册用于Kerberos身份验证服务的SPN,因此这为在不进行大规模端口扫描的情况下收集有关内网域环境的信息提供了一个更加隐蔽的方法。

工具:

SetSPN查询:

windows系统自带的setspn可以查询域内的SPN

#查看当前域内所有的SPN:
setspn -Q */*
#查看指定域xie.com注册的SPN:
setspn -T xie.com -Q */*
setspn -X删除指定SPN
查找指定用户/主机名注册的SPN:setspn -L username/hostname

PowerShell-AD-Recon: 该工具包提供了一些探测指定SPN的脚本,例如Exchange,Microsoft SQLServer,Terminal等

#Discover-PSMSSQLServers.ps1的使用,扫描MSSQL服务
Import-Module .\Discover-PSMSSQLServers.ps1;Discover-PSMSSQLServers

#Discover-PSMSExchangeServers.ps1的使用,扫描Exchange服务
Import-Module .\Discover-PSMSExchangeServers.ps1;Discover-PSMSExchangeServers

#扫描域中所有的SPN信息
Import-Module .\Discover-PSInterestingServices.ps1;Discover-PSInterestingServices

GetUserSPNs.vbs:
GetUserSPNs 是 Kerberoast 工具集中的一个 vbs 脚本,用来查询域内用户注册的 SPN。

cscript .\GetUserSPNs.vbs

PowerView.ps1:
PowerView是 PowerSpolit 中 Recon目录下的一个powershell脚本,PowerView 相对于上面几种是根据不同用户的 objectsid 来返回,返回的信息更加详细。

Import-Module .\PowerView.ps1Get-NetUser -SPN

PowerShellery:
PowerShellery下有各种各样针对服务SPN探测的脚本。其中一些需要PowerShell v2.0的环境,还有一些则需要PowerShell v3.0环境。

#Powershellery/Stable-ish/Get-SPN/ 下Get-SPN.psm1脚本的使用,需要powershell3.0及以上版本才能使用
Import-Module .\Get-SPN.psm1Get-SPN -type service -search "*"Get-SPN -type service -search "*" -List yes | Format-Table

#Powershellery/Stable-ish/ADS/ 下Get-DomainSpn.psm1脚本的使用
Import-Module .\Get-DomainSpn.psm1Get-DomainSpn

RiskySPN中的Find-PotentiallyCrackableAccounts.ps1:
该脚本可以帮助我们自动识别弱服务票据,主要作用是对属于用户的可用服务票据执行审计,并根据用户帐户和密码过期时限来查找最容易包含弱密码的票据。

Import-Module .\Find-PotentiallyCrackableAccounts.ps1;Find-PotentiallyCrackableAccounts -FullData -Verbose

使用domain参数,将返回所有具有关联服务主体名称的用户帐户,也就是将返回所有SPN注册在域用户下的用户。

Import-Module .\Find-PotentiallyCrackableAccounts.ps1;Find-PotentiallyCrackableAccounts -Domain "xie.com"

过ids,ips的一些手工语法:

#将枚举Domain Admins组中所有成员
AdFind -b "CN=Domain Admins,CN=Users,DC=contoso,DC=com" member

#枚举adminCount 设置为1的所有帐户,现在,我们将运行LDAP查询,以查找至少属于一个受保护组的帐户。
AdFind.exe -default -f "(&(adminCount=1)(objectClass=user))" -dn

#枚举配置为无约束委派的所有服务器(不包括DC)
AdFind.exe -default -f "(&(objectCategory=computer)(!(primaryGroupID=516)(userAccountControl:1.2.840.113556.1.4.803:=524288)))" dnsHostName OperatingSystem lastlogonTimestamp pwdLastSet

#使用SPN枚举帐户
AdFind.exe -default -f "(&(objectCategory=user)(servicePrincipalName=*))" cn serviceprincipalname pwdlastset lastlogontimestamp

#枚举不受约束委派的帐户
AdFind.exe -default -f "(&(objectCategory=user)(userAccountControl:1.2.840.113556.1.4.803:=524288))"

#枚举AdminSDHolder容器上的DACL权限
AdFind -b "CN=AdminSDHolder,CN=System,DC=contoso,DC=com" -s base nTSecurityDescriptor -sddl++ -resolvesids

#枚举域根对象上的DACL
AdFind -b "DC=contoso,DC=com" -s base nTSecurityDescriptor -sddl++ -resolvesids

#枚举LAPS密码
AdFind.exe -default -f "(&(objectCategory=computer)(ms-MCS-AdmPwd=*))" dnsHostName ms-Mcs-AdmPwd

#枚举禁用Kerberos预身份验证的帐户
一旦禁用了预身份验证,攻击者就可以为任何用户请求身份验证数据,并且域控制器将返回可以离线暴力破解的加密TGT。此命令将查找禁用了Kerberos预身份验证的帐户。
AdFind.exe -default -f "(&(objectCategory=person)(objectClass=user)(userAccountControl:
最低0.47元/天 解锁文章
Gamma_lab
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
内网渗透渗透
weixin_41082546的博客
11-24 3176
1.初识环境 什么是 是计算机网络的一种形式,其中所有用户帐户 ,计算机,打印机和其他安全主体都在位于称为控制器的一个或多个中央计算机集群上的中央数据库中注册。 身份验证在控制器上进行。 在中使用计算机的每个人都会收到一个唯一的用户帐户,然后可以为该帐户分配对该内资源的访问权限(Domain)是将网络中多台计算机逻辑上组织到一起,进行集中管理,这种区别于工作组的逻辑环境叫...
渗透完全技巧.pdf
10-03
1.无凭证情况下 网络扫描 漏洞快速探测 提权 拥有本地管理员权限 ...token窃取 ...卷影拷贝(获取控所有...服务账号破解 凭证盗窃 NTLM relay Kerberos委派 地址解析协议 zerologon漏洞 CVE-2021-42278 && CVE-2021-42287
渗透.pdf
08-23
渗透。 pdf
内网渗透演示(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Libra1313的博客
04-13 1112
接下来我们将尝试测试控的漏洞,用的最多的是zerologon漏洞,顾名思义,该漏洞分为zero和logon两部分构成,意思就是将密码置空,然后登陆。一旦置空,则可以登录控,但我们还不能直接登录,因为我们置空的不是administrator,接下来,我们使用minikatz通过机器账户ntml登录控并读取控管理员hash,这将是一条命令完成。在控上线之后,我们必须马上恢复控的机器账户密码,否则会导致控脱,这将是一条命令完成。窃取令牌后,代表我们与控已经打通,我们将上传一个木马进控c盘。
渗透命令
cnbird's blog
12-13 3005
RSoP(Result Strategy of Policy)----策略结果集 策略结果集有什么功能 Gpresult 显示用户或计算机的组策略设置和策略的结果集 (RSOP)。 gpupdate  /force 强制刷新组策略   使用 “nltest /dsgetdc:名”可以查看到所连接的控的IP,名称以及所在站点信息。非常实用。 但此命令有个致命的确定,必须要装有Suppor
一些渗透的小tips
牛叉啊德玛
04-06 1487
前一阵子一直无心打理博客,没想到我这个烂博客还有挺多人看的….正好春节,给大家拜个年,顺便写点东西。 最近在研究内网渗透,也搞了一些实际案例,以前一直在法克发东西,本来想把撸的一个不错的内网写出来分享,结果春节法克关了。。蛋疼,等开了再发吧。 写点最近做的学习笔记,关于内网渗透以及渗透的。 很多大公司的内网都会使用来管理电脑,当然对于来说,至高无上的就是DC,也就是控制器
渗透常用基础命令
whojoe的博客
01-21 647
渗透常用基础命令信息收集基础命令常用工具 信息收集基础命令 查询与控制器主机名 net group “domain controllers” /domain 查询管理用户 net group “domain admins” /domain 查看所有用户 net user /domain 查看加入的所有计算机名 net group "domain computers" /domain 查看密码策略 net accounts /domain 常用工具 使用procdump将目标的lsass.
控安全之渗透
m0_59598029的博客
02-25 599
在通常情况下、即使拥有管理员权限,也无法读取控制器中的C:\Windwos\NTDS\ntds.dit文件(活动目录始终访问这个文件,所以文件被禁止读取)。使用Windows本地卷影拷贝服务可以获得文件的副本。在活动目录中,所有的数据都保存在ntds.dit文件中。ntds.dit是一个二进制文件,存储位置为控制器的。ntds.dit中包含(但不限于)用户名、散列值、组、GPP、OU等与活动目录相关的信息。它和SAM文件一样,是被Windows操作系统锁定的。
由浅入深的渗透系列一(上)1
08-03
1.环境搭建 2.信息收集 3.漏洞搜索与利用 4.后台Getshell上传技巧 5.系统信息收集 6.主机密码收集
内网渗透经典文集
03-03
"精典详细内网渗透专题文章.pdf"很可能是全面探讨内网渗透技巧的文章,包括端口扫描、服务识别、漏洞利用、权限提升等步骤。这类文章通常会提供实战案例,帮助读者理解渗透流程和技术细节。 "渗透某大型内网入侵...
cobaltstrike4.3.zip
12-03
同时,新版本还强化了对Windows环境的渗透能力,包括控制器的模拟和金钥凭证的窃取。 然而,随着Cobalt Strike的广泛应用,安全防御者也需要关注如何有效抵御其威胁。这涉及到网络监控、入侵检测系统(IDS/IPS...
技术分享 _ 内网渗透手动学习实践1
08-03
本文将基于标题“技术分享 _ 内网渗透手动学习实践1”和描述,结合标签“c#”,探讨内网渗透的基础知识和实践技巧。 首先,【环境搭建】是内网渗透的起点。在这个环节,通常会创建一个模拟的网络环境,包括不同角色...
内网渗透----内信息收集
浅笑996的博客
04-14 1371
工具使用 Nslookup nslookup # 进入交互式界面 set type=all # 设置记录类型,可以设置为srv _ldap._tcp.dc._msdcs.school.com # 执行查询 ADFind.exe 列出控列表 Adfind.exe -sc...
NLTEST 概述
weixin_34364071的博客
08-13 1012
NLTEST 概述 Nltest.exe 是一个非常强大的命令行实用工具,可用于测试 Windows NT 中的信任关系和的控制器复制状态。 包含在它没有单一的主控制器 (PDC) 和零个或多个备份控制器 (BDC) 的控制器。 在 Windows NT 的上下文中使用 Word 信任时, 它将描述两个 Windows NT 之间的一个关系。 所涉及的每个...
常用控制器解决故障的思路和命令
峰哥IT-一个专业的互联网工作者
08-20 1240
例如,可以使用 Get-ADDomainController 命令获取中的控制器列表,使用 Get-ADReplicationPartnerMetadata 命令检查控之间的复制关系等。DCDiag:DCDiag 是一个诊断工具,它可以检查控制器上的各种问题,包括 DNS 配置、LDAP 连接、Active Directory 数据库、RPC 通信、FSMO 角色等等。NetDom:NetDom 是一个网络工具,可以管理名和计算机帐户,还可以执行各种控之间的操作,例如控移动、控重命名等。
ad管理与维护_渗透之无管理员权限的活动目录侦查
weixin_39983383的博客
11-24 818
一个经常被遗忘(或误解)的事实是,大多数对象及其属性可以被认证的用户(最常见的是用户)查看(或读取)。挑战在于管理员可能认为,由于这些数据最容易通过管理工具访问,比如“ Active Directory User and Computers”(dsa.msc)或“ Active Directory Administrative Center”(dsac.msc) ,其他人无法看到用户数...
非约束委派+Spooler打印机服务 制作黄金票据
a3320315的博客
06-03 2411
环境 : test.com 控:Windows server 2012R2, 主机名: AD, IP: 192.168.1.7 内主机:系统:windows 2008R2,主机名:WIN2008,ip:192.168.1.8 原理:利用非约束委派+Spooler打印机服务可以强制指定的主机进行连接 我们给win2008R2这个主机账户开启非约束委派 复现 1、首先我们需要一个win2008R2的管理账号 我直接用本地的管理员账号打开一个cmd 直接运行命令 Rubeus.exe m
渗透——AdminSDHolder
broing55的博客
03-26 579
0x00 前言 AdminSDHolder是一个特殊的AD容器,具有一些默认安全权限,用作受保护的AD账户和组的模板。 Active Directory将采用AdminSDHolder对象的ACL并定期将其应用于所有受保护的AD账户和组,以防止意外和无意的修改并确保对这些对象的访问是安全的。 如果能够修改AdminSDHolder对象的ACL,那么修改的权限将自动应用于所有受保护的AD账户和...
Exchange 2010 出现用户无权限发邮件,产生的原因是部分用户权限被覆盖或者丢失!
技术与管理的平衡木-
05-11 7418
在Exchange 安装或者使用的时候,我们经常会发现比较怪异的情况,部分发邮件提示用户没有权限以这个身份发送邮件失败,或者手机用户发下无法链接和使用,后来我们发现这个问题产生的根源是AD中的受保护的组的缘故,因为默认来说受保护的组权限是不能被其他权限覆盖的。     所以就会产生当我们去AD中修改这个用户的权限,结果过了大约1个小时后,权限又被覆盖回去,再修改还是一样的被覆盖回去,产生的原因是什
关于渗透与免杀对抗思考及其常见方式
03-16
在实际操作中,渗透者可能会尝试利用各种技术手段,如横向渗透(Domain Laterals)来获取更多的控制权限,或者通过Web Application Firewall (WAF)的绕过技巧来规避检测。同时,Shellcode免杀技术也被用于逃避...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值