搭建exchange邮件服务器一定要ad域么?_域渗透神器-AD Explorer使用指南

Mark Russinovich的Sysinternals工具（微软）大家都听说过。多年来，它们一直是系统管理员喜欢的工具。我也很喜欢这款工具，但我更喜欢的是AD Explorer，我一直使用它进行内部系统的测试和评估。
首先需要一个域帐户 （ 任何一个域帐户都可以 ）， 可以利用该账户与域控制器通信并用它枚举域。它能够列出域组织架构，用户帐户，计算机帐户等。它可以帮助你寻找特权用户和数据库服务器等敏感目标。与Sysinternals工具一样，AD Explorer是独立的可执行文件，无需安装。因此，只要您在某个文件夹有写入权限，就可以从http://live.sysinternals.com下载运行这个工具。

如果没有写入权限或者不允许下载可执行文件，也可以直接从“运行”框或“资源管理器”窗口输入下面的UNC路径，在未下载文件到磁盘的情况下执行。http://live.sysinternals.comtoolsADExplorer.exe

点击可执行文件将其直接加载到内存中
让我们看几个示例。 首先找到有价值的目标，如下面的屏幕截图所示。在这里找到了CIO笔记本电脑。 可能每个人方法都不一样，但如果我知道CIO计算机的账户名，我会想办法登陆进去并从内存中拿到密码。 毕竟这是一个权限比较高的帐户。

可能还有其他有用的属性信息，比如“info”属性。 在下面的示例中，我们展示了实际测试中的某个域信息。 因为数据非常敏感，图片被打码了，这些信息提供给我很多社工的突破口（想想密码重置）！

如果想找到有价值的敏感服务器，可以看下服务器的名称。 因为服务器经常根据其功能命名。例如， 数据库服务器名称中经常带有“SQL”。

而AD Explorer中的搜索功能也非常出色，可以对大量数据进行分类，帮助你找到需要的内容。 例如，是否需要识别已禁用的帐户？ 只需选择userAccountControl属性并搜索值514。（实际上，userAccountControl属性含有多个标志，其中一个标志是“禁用”标志，这里有多个值可以表示账户已禁用，一般这个值为514。）

如果你具有足够高的权限，则还可以添加和修改对象和属性。 虽然它的功能还是有限，但对内网渗透仍有很大帮助。 在下图中，我在测试域中为用户Grace添加了“Comment”属性。

并且这个工具还有保存快照的功能，你可以随时保存快照并在AD Explorer中将其打开查看。

查看快照不会改变目标系统任何设置，非常适合进行信息收集。
AD Explorer还可以比较两个快照的“差异”。在渗透测试前拍摄快照，如果内部人员更改了某些系统的密码，此时再拍摄一个快照，观察谁更改了密码或哪些已被禁用。虽然AD Explorer不能修改密码或将状态从禁用更改为启用，但可以很隐蔽的监视检查帐户禁用状态。
对于外部测试，如果要使用AD Explorer连接到服务器，则需要提供域帐户。 在shodan上针对两个常见的LDAP端口和包含“DC”的主机名进行搜索，会发现有很多服务器可以直接从互联网访问。

或者更进一步，再添加445端口，查找可能会受到SMB漏洞攻击的域控制器。 （注意：并非所有服务器都打开了这三个端口。）
如果域控服务器被成功控制，整个域中的服务器也将被控制。检查并确保你的服务器不在shodan的搜索结果之内。

!! 2018年5月新添加的提示和技巧!!

使用AD Explorer进行网络钓鱼

如果要从外部电子邮件地址向特定组发送有针对性的钓鱼邮件，则可以查询域信息以获取允许收到外部邮件的通讯组。 当 msExchRequireAuthToSendTo属性为False时，任何人都可以向该组发送邮件。

你还可以双击搜索结果中的组，然后检查组的成员属性以获取成员列表。 可以通过这种方式提取单个电子邮件地址，这么做比较麻烦，但这样可以使电子邮件中的收件人看起来更加可信。

从命令行创建快照

AD Explorer有图形化界面，但是图形化界面有时会报错。 你可以从shell中创建一个快照。将AD Explorer上传到目标服务器，并使用以下命令：
adexplorer.exe -snapshot "" mysnap.dat
或者以不写入文件的方式来执行：http://live.sysinternals.comtoolsadexplorer.exe -snapshot "" snap.dat
你可以输入“adexplorer /？”来查看语法：

寻找特权账户

此外，如果你想寻找特权帐户，不要忘记检查Builtin Administrators组。 里面的帐户不一定是域管理员，但可能是可以访问域控制器的本地管理员!

寻找密码

在大多数域的模式中，有3-4个字段似乎很常见，UserPassword，UnixUserPassword，unicodePwd和msSFU30Password。 在大量测试中，我们发现这些字段中的一个或多个都代表了ACTUAL密码。 虽然有时会通过转换为ASCII十进制等值来进行混淆，但可以通过“man ascii”来进行破解。
以下是我们最近拍摄的快照示例。

上图中这两个密码相同，解码都为A B C D！ e f g h 1 2 3 4 5 $ 6 7 8 9 0。如果你知道使用AD Explorer的任何其他提示或技巧，请联系我们。
谢谢！

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场

来源：域渗透神器-AD Explorer使用指南

原文：https://www.blackhillsinfosec.com/domain-goodness-learned-love-ad-explorer/

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。