文章来源|MS08067 内网安全知识星球
本文作者:掉到鱼缸里的猫(Ms08067内网安全小组成员)
情景
在测试过程中通过漏洞获取了边界节点的控制权,但该主机不在域中,或者不是windows主机(Linux 服务器、边界网络设备),进一步测试发现,该主机和域控主机并没有隔离,掌握一定的域用户信息, 同时可以通过该主机进行流量转发。
本文将介绍利用 ldapsearch 工具,通过端口转发方式,获取域内用户信息的方法,主要是获取域中用 户、主机、用户组、指定用户组中的用户信息,以及超大规模(10W)用户目录的情况(极端情况,估计这辈子都遇不到),并与两个在windows环境下常用工具 ADExplorer.exe 、 LdapBrowser.exe 进 行对比。
测试环境:
域控主机:Windows Server 2016,10W自建用户组、10W自建用户,域名为lab.local
边界主机:Ubuntu 20.04,利用 rinetd 进行端口转发TCP 389端口
测试软件:ldapsearch (Kali),对比软件 ADExplorer.exe 、 LdapBrowser.exe
2. ldapsearch的使用
ldapsearch 介绍:由OpenLDAP Project项目组开发维护的,一个在shell环境下进行调用 ldap_search_ext库进行LDAP搜索的工具。(kali中默认安装)
LDAP和Windows AD的关系:Active Directory = LDAP服务器+LDAP应用(Windows域 控)。Active Directory先实现一个LDAP服务器,然后自己先用这个LDAP服务器实现了自己 的一个具体应用(域控)
验证用户是否有效: