谢公子的博客

搭建域环境 域内认证之Kerberos协议详解 Windows域的管理 域内权限解读 LDAP中常见名称(CN/DN/OU) 域内创建机器用户 更改域环境密码安全策略 域中的ACL访问控制策略和组策略域内工具：ADSI编辑器 域查询工具Adfind的用法域内渗透：域内用户枚举和密码喷洒攻击(Password Spraying) 域渗透之委派攻击 票据传递攻击(Pass the Ticket,PtT) 哈希传递攻击(Pass-the-Hash,PtH) AS-REP Roa

目录域功能级别Domain Functionality Level林功能级别Forest Functionality Level域功能级别Domain Functionality Level活动目录服务的域功能级别设置只会影响到该域，不会影响到其他域。域功能级别分为以下四种，不同的域功能级别各有不同的特点：Windows Server 2008：域控可以是Windows Server 2008、Windows Server 2008R2、Windows Server 2012 和 Win

目录可重新启动的活动目录服务(Restartable AD DS)活动目录回收站可重新启动的活动目录服务(Restartable AD DS) 在旧版Windows域控内，若要进行活动目录数据库维护工作，就需要重新启动计算机进入目录服务还原模式(Directory Service Restore Mode)来执行维护工作。若这台域控也同时提供其他网络服务，例如它同时也是DHCP服务器，则重新启动计算机将造成这些服务暂时中断。 Windows Server 2012 R...

组策略 组策略是Windows环境下用户管理对象的一种手段。组策略分为本地组策略和组策略。本地组策略适合于管理独立的未加入域的工作组的机器。而组策略则是用于管理域环境中的对象；本文主要讲解域环境中的组策略。关于本地组策略，传送门： 域环境中通过配置组策略可以对域中的用户、用户组、计算机进行不同维度的管理；如安全配置、注册表配置、软件安装配置、开关机与登入登出管理等。配置的组策略通过关联到站点、域、组织单位上来在不同层级上应用不同的策略配置。组策略配置分为两部分，分别是计算机配置和...

目录impacket攻击挂socks5代理打使用mimikatz攻击恢复域控的机器用户哈希获得域控机器账号原始哈希方式一 ：方式二：恢复域控原始哈希impacket攻击先执行如下命令判断域控是否存在该漏洞python3 zerologon_tester.py win2008 192.168.10.131该脚本会将域控的机器账号哈希置为空#查询域控的机器用户哈希./secretsdump.py xie.com/administrator:p..

在DCSync功能出现之前，要想获得域用户的哈希，需要登录域控制器，在域控制器上执行代码才能获得域用户的哈希。2015年8月，新版的mimikatz增加了DCSync的功能，该功能可以模仿一个域控DC，从真实的域控中请求数据，如用户的哈希。该功能最大的特点就是可以实现不登录到域控而获取域控上的数据。在域中，不同的DC之间，每隔15分钟会进行一次域数据的同步。当一个DC（辅助DC）想从其他DC（主DC）获取数据时，辅助DC会向主DC发起一个GetNCChanges请求。请求的数据包括需要同步的数据。如果需

SYSVOL是活动目录里面的一个用于存储域公共文件服务器副本的共享文件夹，在域中的所有域控制器之间进行复制。SYSVOL文件夹是在安装活动目录时自动创建的，主要用来存放登录脚本、组策略数据及其他域控制器需要的域信息等。SYSVOL在所有经过身份验证的域用户或者域信任用户具有读权限的活动目录的域范围内共享。整个SYSVOL目录在所有的域控制器中是自动同步和共享的，所有的域策略均存放在 C:\Wind...

域信任是为了解决多域环境中的跨域资源共享问题而诞生的。域信任作为一种机制，允许另一个域的用户在通过身份验证后访问本域中的资源。同时，域信任利用DNS服务器定位两个不同子域的域控制器，如果两个域中的域控制器都无法找到另一个域，那么也就不存在通过域信任关系进行跨域资源共享了。域信任关系分为单向信任和双向信任：单向信任是指在两个域之间创建单向的信任路径，即在一个方向上是信任流，在另一个方向上是访问流。在受信任域和信任域之间的单向信任中，受信任域内的用户或计算机可以访问信任域中的资源，但信任域内的用户却

DSRM域后门 DSRM是Windows域环境中域控制器的安全模式启动选项。每个域控制器都有一个本地管理员账号(也就是DSRM账号)。DSRM的用途是：允许管理员在域环境中出现故障或崩溃时还原、修复、重建活动目录数据库，使域环境的运行恢复正常。在域环境创建初期，DSRM的密码需要在安装DC时设置，且很少会被重置。修改DSRM密码最基本的方法是在DC撒花姑娘运行 ntdsutil 命令...

每个用户都有自己的SID。SID的作用主要是跟踪安全主体控制用户连接资源时的访问权限。SID History是在域迁移过程中需要使用的一个属性。如果将A域中的域用户迁移到B域中，那么在B域中新建的用户的SID会随之改变，进而影响迁移后用户的权限，导致迁移后的用户不能访问本来可以访问的资源。SID History的作用是在域迁移过程中保持域用户的访问权限，即如果迁移后用户的SID改变了，系统会将...

SSP SSP(Security Support Provider)是windows操作系统安全机制的提供者。简单的说，SSP就是一个DLL文件，主要用来实现Windows操作系统的身份认证功能，例如：NTLM、Kerberos、Negotiate、Secure Channel(Schannel)，Digest、Credential(CredSSP)SSPI(Security Supp...

使用Skeleton Key(万能密码)，可以对域内权限进行持久化操作。mimikatz注入Skeleton KeySkeleton Key攻击的防御措施2014年，微软在Windows操作系统中增加了LSA保护策略，以防止lsass.exe进程被恶意注入，从而防止mimikatz在非允许的情况下提升到Debug权限。通用的Skeleton Key的防御措施列举如下：域管理员用户设...

Hook PasswordChangeNotifyHook PasswordChangeNotify是作用是当用户修改密码后再系统中进行同步。攻击者可以利用该功能获取用户修改密码时输入的密码明文。在修改密码时，用户输入新密码后，LSA会调用PasswordFileter来检查该密码是否符合复杂性要求。如果密码符合复杂性要求，LSA会调用PasswordChangeNotify，在系统中同步...

目录通过DNS管理器获取DNS记录通过dnscmd获取DNS记录域内远程读取DNS记录的方法在内网进行横向渗透时，通过对DNS记录的获取，可以定位很多重要的服务器。通过DNS管理器获取DNS记录需要在域控上操作。开始——>管理工具——>DNS通过dnscmd获取DNS记录位于：c:\windows\system32\dnscmd.exe ，以下系统默认安装有dnscmdWindows Server 2003 Windows Server 2008..

ldapsearch是类unix下一款用于域信息查询的工具ldapsearch -x -h 192.168.10.131 -D "administrator@xie.com" -w P@xxx23 -b "CN=Users,DC=xie,DC=com" dn未完待续。。

AD Explorer是一款域内信息查看工具，其相对于ADSI编辑器，更加方便。只需要把ADExplorer.exe工具拷贝到域内任意一台主机打开，然后输入域控ip和普通域用户账号密码即可连接。

LDP是微软自带的一款域内信息查询工具，在域控的 cmd 窗口执行ldp即可打开LDP。普通域成员主机默认是没有LDP的，可以自行上传ldp.exe工具上去域控打开，直接cmd窗口执行ldp即可。普通域主机打开LDP，自行上传ldp.exe...

目录查询Active DirectoryBaseDN过滤规则查询Active Directory通过查询目录，可以直接收集到要求的数据。查询目录需要指定两个要素BaseDN 过滤规则BaseDNBaseDN指定了这棵树的根。比如指定BaseDN为DC=xie.DC=com就是以DC=xie.DC=com为根往下搜索BaseDN为CN=Users,DC=xie.DC=com就是以CN=Users,DC=xie.DC=com为根往下搜索过滤规则LDAP 过滤规

Naming Context首先有一点得明确，Active Directory具有分布式特性，一个林中有若干个域，每个域内有若干台域控，每台域控有一个独立的Active Directory。这个时候就有必要将数据隔离到多个分区中，如果不隔离的话，则每个域控制器都必须复制林中的所有数据。若隔离为若干个分区之后，就可以有选择性的复制某几个分区。微软将Active Directory划分为若干个分区(这个分区我们称为Naming Context，简称NC)，每个Naming Context都有其自己的安全边界

目录LDAPAD(Active Directory)LDAPLDAP(Lightweight Directory Access Protocol)轻量目录访问协议。顾名思义，LDAP是设计用来访问目录数据库的一个协议。在这之前我们先介绍一下目录服务。目录服务是由目录服务数据库和目录访问协议组成。目录服务数据库也是一种数据库，这种数据库相对于我们熟知的关系型数据库(比如MySQL,Oracle),主要有以下几个方面的特点。 它成树状结构组织数据，类似文件目录一样。 它是

在域中，普通域用户可以创建最多10个机器账户(本地账号不能创建机器账户)。如下，普通域用户hack创建了一个机器账户 MachineNameImport-Module .\Powermad.ps1New-MachineAccount -MachineAccount MachineName使用刚刚创建的计算机账号添加DNS记录在Win7上，我们获得了普通的域用户xie...

目录psloggedon.exePVEFindADUser.exenetview.exenetsess.exehunter.exeNmap的NSE脚本PowerSploit的PowerView脚本Empire的user_hunter模块psloggedon.exe该工具可以查看本地登录的用户和通过本地计算机或远程计算机的资源登录的用户。如果指定的是用户名而不...

在做域渗透测试时，当我们拿到了一个普通域成员的账号后，想继续对该域进行渗透，拿到域控服务器权限。如果域控服务器存在MS14_068漏洞，并且未打补丁，那么我们就可以利用MS14_068快速获得域控服务器权限。MS14-068编号CVE-2014-6324，补丁为3011780，如果自检可在域控制器上使用命令检测。systeminfo |find "3011780"如下，为空说明该服务...

目录SPNSPN的配置SetSPN注册SPN查询SPNSPN的扫描PowerShell-AD-ReconGetUserSPNs.ps1GetUserSPNs.vbsPowerView.ps1PowerShellerySPNSPN(ServicePrincipal Names)服务主体名称，是服务实例(比如：HTTP、SMB、MySQL等服务)的...

目录查询域控制器的域用户会话交叉引用域管理员列表与活动会话列表查询运程系统中运行的任务扫描远程系统的NetBIOS信息首先得知道哪些账号是域管理员账号net group "domain admins" /domain如果运气好，执行以下查看进程命令，或许能查看到管理员进程。但是结果往往不尽如人意。tasklist /v查询域控制器的域用户会话net g...

目录NTDS.dit通过ntdsutil.exe提取NTDS.dit通过vssadmin提取ntds.dit通过vssown.vbs脚本提取ntds.dit使用ntdsutil的IFM创建卷影拷贝使用diskshadow导出ntds.dit导出SYSTEM文件主机运维人员监控卷影拷贝服务的使用情况NTDS.dit在活动目录中，所有的数据都保存在域控的 ntd...

目录使用esedbexport导出散列值使用impacket工具包导出散列值当我们获得了域控上的NTDS.dit文件后，我们肯定需要想办法从中导出其中的散列值。使用esedbexport导出散列值导出ntds.dit表信息先安装esedbexportapt-get install autoconf automake autopoint libtool pkg-conf...

首先，关闭hack2用户的 Kerberos预身份验证。然后使用 Rubeus执行如下命令Rubeus.exe asreproast然后使用hashcat进行爆破

目录哈希传递攻击MSF进行哈希传递攻击PtH(工作组)MSF进行哈希传递攻击PtH(域)mimikatz进行哈希传递攻击PtH(工作组)mimikatz进行哈希传递攻击PtH(域)使用AES进行哈希传递攻击(PTK,Pass The Key)更新KB2871997补丁产生的影响哈希传递攻击哈希传递攻击是基于NTLM认证的一种攻击方式。哈希传递攻击的利用前提是我们...

目录票据传递攻击(Pass the Ticket,PtT)黄金票据生成票据并导入查看票据验证是否成功黄金票据和白银票据的不同票据传递攻击(Pass the Ticket,PtT)票据传递攻击（PtT）是基于Kerberos认证的一种攻击方式，常用来做后渗透权限维持。利用的前提是得到了域内krbtgt用户的密码哈希。关于Kerberos认证：Kerberos...

目录KerberoastKerberoast攻击SPN服务主体名称的发现请求服务票据导出服务票据离线破解服务票据服务票据重写&RAM注入Kerberoast攻击防范KerberoastKerberoast攻击过程：攻击者对一个域进行身份验证，然后从域控制器服务器获得一个TGT认购权证 ，该TGT认购权证用于以后的ST服务票据请求 攻击者使用...

目录域的管理默认容器组织单位的管理添加额外域控制器卸载域控服务器组策略应用域的管理域用户账户的管理 创建域用户账户 配置域用户账户属性 验证用户的身份 授权或拒绝对域资源的访问组的管理 组的类型安全组：安全组有安全标识（SID），能够给其授权访问本地资源或网络资源。即能授权访问资源，也可以利用其群发电子邮件 通讯组： 通迅组没有安全标识（SID...

目录域本地组全局组通用组A-G-DL-P策略内置组几个比较重要的域本地组几个比较重要的全局组、通用组的权限域本地组多域用户访问单域资源（访问同一个域）可以从任何域添加用户账户、通用组和全局组，但只能在其所在域内指派权限。域本地组不能嵌套于其他组中。它主要是用于授予位于本域资源的访问权限。全局组单域用户访问多域资源（必须是一个域里面的用户）只能在创...

目录部署域架构如何加入域域中主机的登录SRV出错及解决办法SRV记录注册不成功的可能原因禁用域中的账户将计算机退出域添加域用户部署域架构在域架构中，最核心的就是DC(Domain Control，域控制器)，创建域首先要创建DC，DC创建完成后，把所有的客户端加入到DC，这样就形成了域环境。 域控制器是由工作组计算机升级而成，通过dcpromo命令就可以...

Kerberos认证方式Kerberos是由麻省理工大学提出的一种网络身份验证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。Kerberos协议有两个基础认证模块：KAS_REQ & KAS_REP 和 TGS_REQ & TGS_REP ，以及微软扩展的两个认证模块S4U 和 PAC 。Kerberos实际上是一种基于票据（Ticket）...

ADSI编辑器在 cmd 窗口执行adsiedit.msc打开ADSI编辑器。Active Directory服务界面(ADSI)编辑器是一个用于Active Directory域服务、Active Directory轻型目录服务的低级别的编辑器。它允许查看、编辑、创建和删除Microsoft的AD DS/LDS中的任何对象。...

CN(Common Name) 通用名称：为用户名或服务器名，最长可以到80个字符，可以为中文 OU(Organization Unit)组织单元：最多可以有四级，每级最长32个字符，可以为中文 DC(Domain Component) 域组件这些都是X.500目录规范的所有部门，它定义了LDAP目录中的节点DN(Distinguished Name)区分名：区分名是唯一的，DN 有三个属性，分别是 CN、OU、DCCN, OU, DC 都是 LDAP 连接服务器的端字符串中的区别名称（DN,.

目录远程主机导出域散列值域控上导出域散列值使用mimikatz使用Invoke-DCSync.ps1脚本使用Metasploit获取域散列值远程主机导出域散列值mimikatz的dcsync功能，可以利用卷影拷贝服务直接读取ntds.dit文件并检索散列值。但是，必须使用域管理员权限运行mimikatz才可以读取ntds.dit。以下命令可以在域内主机上以域管理员权限运...

目录域内用户枚举密码喷洒攻击在 Kerberos 协议认证的 AS-REQ阶段，cname 的值是用户名。当用户不存在时，返回包提示错误。当用户名存在，密码正确和密码错误时，AS-REP的返回包不一样。所以可以利用这点，对域内进行域用户枚举和密码喷洒攻击域内用户枚举当主机不在域内时，我们可以通过域内用户枚举来探测域内的用户。我们可以使用nmap指定脚本来探测。nmap ...

在默认情况下，经过身份验证的域内用户可以创建十个机器账户，这个数量是由域控的ms-DS-MachineAccountQuota属性决定。官方参考：https://support.microsoft.com/en-us/help/243327/default-limit-to-number-of-workstations-a-user-can-join-to-the-domain如果用户创建第十一个机器账户，则会报如下错误：被创建的机器用户的mS-DS-CreatorSID属性的值是创建用户的