# 域内信息收集与防御 #

域内信息收集主要通过LDAP和SAMR两种方式:

1)LDAP信息收集原理:因为域环境下所有的组、账户等对象都存储在Directory-Database中,而LDAP可以用来查询和更新目录数据库,所以通过LDAP协议可以快速收集很多域内重要信息,比如域管组、域控、MAQ、组策略等。

2)SAMR信息收集原理:通过身份验证的用户,可以远程访问SAM;NET命令就是通过SAMR协议查询。

信息收集检测与防御:从流量中可以检测到信息收集的特征。

# 域内横向移动及对抗 #

1)PTH横向移动:

威胁:击者可能会在获得Hash后在RDP的受限管理模式中PTH进行横向移动,此模式RDP不会使凭据暴露在目标系统中。

原理:受限管理模式下无需输入凭据,就可以进行RDP。

2)重置用户密码进行横向移动

威胁:已知hash或明文密码的条件下重置该用户密码。

原理:在登录一些系统比如云桌面等不支持PTH的,就需要明文密码,那么就可以利用已经得到的hash来重置密码,在默认的配置下,everyone都可以通过SAMR协议利用RPC的方式在已知用户hash或明文的情况下重置任意用户的hash或明文密码,那g击者为了无感知操作,可以用SetNTLM重置密码,登陆了目标系统后,然后再用ChangeNTLM去修改回去。

3)利用WinRM进行横移

原理:WinRM是Windows远程管理服务,Windows server2012后开启,默认监听端口5985(HTTP)和5986(HTTPS)。相比于psexec或者wmiexec,利用WInRM也能达到相同的效果,g击者控下一台主机就能利用这种方式执行命令。

4)无需445端口横向移动:

威胁:这种方法可以将命令执行的结果输出到注册表,然后通过wmic读注册表,实现了不借助44