github里的默认域_渗透基础——域内用户口令策略的获取

最新推荐文章于 2021-08-30 10:12:52 发布
最新推荐文章于 2021-08-30 10:12:52 发布
阅读量247 收藏
点赞数
文章标签: github里的默认域

2afc112f3af7e08d9affbdbb9e2ee01b.gif

ef12061462089f238ef5c8a613412e48.png0x00 前言

在域渗透中,我们在口令爆破前需要先获得域内用户的口令策略,以免在口令爆破时锁定用户。

站在防御的角度,需要识别出口令爆破的攻击行为并采取防御措施。

本文将要介绍获取域内用户口令策略的常用方法,结合利用思路分享检测域用户口令爆破的方法。

8da56fbfd125e36d4666c61611d26ed8.png0x01 简介

本文将要介绍以下内容:

· 修改域用户口令策略的方法

· 域外获取域用户口令策略的方法

· 域内获取域用户口令策略的方法

· 检测方法

8da56fbfd125e36d4666c61611d26ed8.png0x02 基础知识

我们需要关注以下口令策略:

· Maximum password age,表示密码过期的时间,默认为42

· Minimum password length,表示密码的最小长度,默认为7

· Account lockout duration,表示被锁定的帐户在自动解锁前保持锁定的分钟数,默认为30

· Account lockout threshold,表示导致用户帐户被锁定的失败登录尝试次数,默认为5

· Reset account lockout counter after,表示失败登录尝试计数器重置为0次错误登录尝试之前,失败登录尝试后必须经过的分钟数,默认为30

8da56fbfd125e36d4666c61611d26ed8.png0x03 修改域用户口令策略的方法

域用户的口令策略默认保存在域内的默认组策略(Default Domain Policy)中,guid为{31B2F340-016D-11D2-945F-00C04FB984F9}

在域控制器上打开Group Policy Management,找到当前域,选择Default Domain Policy,右键选择编辑,如下图:

fa1619410245fec68b54d5ebe51bef42.png

依次打开Computer Configuration->Policies->Windows Settings->Security Settings->Account Policies,如下图:

b1882c88272459746a7a67dc03cdc414.png

根据提示修改对应的选项。

修改以后可以选择立即更新组策略使其立即生效,命令行输入:

gpupdate

8da56fbfd125e36d4666c61611d26ed8.png0x04 域外获取域用户口令策略的方法

1.Kali系统通过ldapsearch获取域用户口令策略

测试环境如下图:

c9e781ff325cb4e424a9eb5d4e6f8a04.png

前提:我们能够访问到域控制器(DC)的389端口,并且我们至少已经获得了域内一个普通用户的口令。

这个测试环境中,我们获得了域内普通用户testa的口令为DomainUser123!

连接命令如下:

ldapsearch -x -H ldap://192.168.1.1:389 -D "CN=testa,CN=Users,DC=test,DC=com" -w DomainUser123! -b "DC=test,DC=com" | grep replUpToDateVector -A 13

参数说明:-x 进行简单认证 -H 服务器地址 -D 用来绑定服务器的DN -w 绑定DN的密码 -b 指定要查询的根节点。

使用grep命令对输出结果进行筛选,grep replUpToDateVector -A 13是为了只显示出同密码策略相关的项。

输出结果如下图:

589b4cb30d4ce4da9dcce2fb4c1f47ed.png

包括以下需要的信息:

· maxPwdAge: -36288000000000

· minPwdLength: 10

· lockoutDuration: -18600000000

· lockoutThreshold: 15

· lockOutObservationWindow: -18600000000

换算成以秒为单位要除以10000000

例如:

(1)maxPwdAge: -36288000000000

36288000000000/10000000=3628800s

3628800/86400=42d

maxPwdAge=42d

(2)lockoutDuration: -18600000000

-18600000000/10000000=1860s

1860/60=31m

lockoutDuration=31m

2.Windows系统通过PowerShell获取域用户口令策略

测试环境如下图:

4dd939742582bd15e8644ca3806c7528.png

前提:我们能够访问到域控制器(DC)的389端口,并且我们至少已经获得了域内一个普通用户的口令。

这个测试环境中,我们获得了域内普通用户testa的口令为DomainUser123!

这里需要使用powershell模块Active Directory。

这里不必专门安装powershell模块Active Directory,可以通过调用Microsoft.ActiveDirectory.Management.dll的方式解决

Microsoft.ActiveDirectory.Management.dll在安装powershell模块Active Directory后生成,我已经提取出来并上传至github:https://github.com/3gstudent/test/blob/master/Microsoft.ActiveDirectory.Management.dll

此外,还需要使用凭据信息,所以完整的Powershell命令如下:

$uname="testa"

$pwd=ConvertTo-SecureString "DomainUser123!" -AsPlainText –Force

$cred=New-Object System.Management.Automation.PSCredential($uname,$pwd)

import-module .\Microsoft.ActiveDirectory.Management.dll

Get-ADDefaultDomainPasswordPolicy -Server 192.168.1.1 -Credential $cred -Verbose

输出结果如下图:

356d7428a0f221df8ed194cfe5695b84.png

3.Windows系统通过域共享文件获取域用户口令策略

测试环境同上。

域用户的口令策略保存在域内的默认组策略(Default Domain Policy)中,guid为{31B2F340-016D-11D2-945F-00C04FB984F9}

这里可以通过通过访问域内共享文件夹\SYSVOL进行查看。

前提:需要提供域用户的凭据。

这个测试环境中,我们获得了域内普通用户testa的口令为DomainUser123!

通用位置为:\\

测试环境的位置为:\\192.168.1.1\SYSVOL\test.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

输出结果如下图:

afc386a9aa50220f6a1443507589c920.png

8da56fbfd125e36d4666c61611d26ed8.png0x05 域内获取域用户口令策略的方法

前提是已经获得了域内一台主机的权限。

测试环境如下图:

6bfe120b9fe5abb954b9a58861c70eb2.png

1.通过PowerShell获取域用户口令策略

import-module .\Microsoft.ActiveDirectory.Management.dll 

Get-ADDefaultDomainPasswordPolicy

2.通过c++获取域用户口令策略

使用API NetUserModalsGet来获取域用户的口令策略。

结构体USER_MODALS_INFO_0保存全局密码信息。

结构体USER_MODALS_INFO_3保存锁定信息。

参考资料:

https://docs.microsoft.com/en-us/windows/win32/api/lmaccess/nf-lmaccess-netusermodalsget?redirectedfrom=MSDN

根据参考资料中的代码,添加查询用户锁定信息的功能,代码已上传至github,地址如下:

https://github.com/3gstudent/Homework-of-C-Language/blob/master/GetDomainPasswordPolicy.cpp

代码分别使用结构体USER_MODALS_INFO_0和USER_MODALS_INFO_3对用户的口令策略进行查询。

输出结果如下图:

e349182f1e12046fdc80909c02e8c769.png

3.通过域共享文件获取域用户口令策略

通用位置为:\\

测试环境的位置为:\\test.com\SYSVOL\test.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

8da56fbfd125e36d4666c61611d26ed8.png0x06 检测方法

域用户的属性中包括两个有用的信息:

· badPwdCount,记录用户口令错误的次数

· lastbadpasswordattempt,记录上次口令输入错误的登陆时间

我们在检测时可以通过查询这两个属性来识别是否遭受口令爆破的攻击,具体方法如下:

1.直接在域控制器上查询

Powershell代码如下:

Get-ADUser -Filter * -Properties *| select name,lastbadpasswordattempt,badpwdcount|fl

输出结果如下图:

24be81c1b7eecfeebf0844c8a9339600.png

2.在域内普通用户登录的主机上

(1)使用powerview

Get-NetUser | select name,badpasswordtime,badpwdcount

输出结果如下图:

4c92b899c9648fac253c620cdd000525.png

(2)使用c++

https://github.com/3gstudent/Homework-of-C-Language/blob/master/CheckUserBadPwdPolicy.cpp

输出结果如下图:

96fa0e16f632ccb141880a3f01814516.png

3.在域外的kali系统上

(1)使用ldapsearch

ldapsearch -x -H ldap://192.168.1.1:389 -D "CN=testa,CN=Users,DC=test,DC=com" -w DomainUser123! -b "DC=test,DC=com" -b "DC=test,DC=com" "(&(objectClass=user)(objectCategory=person))"|grep -E "cn:|badPwdCount|badPasswordTime"

输出结果如下图:

fa7bd3549bb0c9e9b480bf3c91217660.png

8da56fbfd125e36d4666c61611d26ed8.png0x07 小结

本文列举了获取域内用户口令策略的常用方法,介绍了如何在多种环境下识别出口令爆破的行为。

本文为 3gstudent 原创稿件,授权嘶吼独家发布

9e723a9a24aa7471150f536fa77aa823.png

e0c826ae5d5ec70255aa717f0137c1e4.png

weixin_39800112
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
获取 AD 用户列表
07-18
获取 AD 用户列表获取
github上传口令
suedar的小屋子
10-18 244
现在要上传的文件处右键git bash here 然后git init git add . git commit -m "提交信息" git push -u origin master 然后在项目处 复制ssh东西后输入cmd即可 详细版友情链接
获取windows登录用户用户目录 C++
未来之歌
01-28 6806
网上各种std::getenv()等方法众多,实际上这个函数被认为是不安全函数,vs2013下连编译都无法通过。 其实Windows有自己的API函数: DWORD WINAPI GetEnvironmentVariable( In_opt LPCTSTR lpName, Out_opt LPTSTR lpBuffer, In DWORD nSize );
github指令
weixin_44823313的博客
07-13 154
分支管理 查看分支/查看远程分支 git branch git branch -a 创建分支 git checkout -b left01 切换分支 git checkout master 分支重命名 git branch master left01 dev 删除分支 git branch -d dev 合并分支(必须先切换到master再合并) git merge dev 获取最新远程状态 git fetch 远程推送分支 git push origin d
C++ 枚举本地主机所有用户用户基本信息(不能获得密码哦)
tianyu030963的专栏
11-04 2806
C++ 枚举本地主机所有用户用户基本信息 #include "iostream" #include "windows.h" #include "lm.h" #include "assert.h" #include "string" #include "time.h" using namespace std; #pragma comment(lib,"netapi32.lib"
github_java_flutter_github安卓开发_GitHubAppKey_github.comn_
09-30
标题中的“github_java_flutter_github安卓开发_GitHubAppKey_github.comn_”揭示了项目的核心内容,即使用Java(可能用于部分原生模块)和Flutter进行GitHub应用的开发,同时提到了GitHubAppKey,这通常用于验证和...
contributors-on-github-master.zip_github_show_stats contributor
09-20
标题中的"contributors-on-github-master.zip_github_show_stats contributor"暗示了这个压缩包内容与GitHub上的贡献者统计信息有关。这通常涉及到一个项目或仓库中各个贡献者的代码提交、活动频率和其他参与指标的...
GitPageHijack:现在没事了。 让我们劫持github用户的自定义
05-18
让我们劫持github用户的自定义。 我选择了这个回购协议,以便快速了解这个想法。 发现弱点 几天前,我在github上发现了一个奇怪的地方。 如果用户使用通配符DNS记录到GitHub Pages。 这样一来,任何人都可以...
Trending-github::chart_increasing:用于在GitHub获取趋势库的简单API
02-03
趋势-github 用于在Github获取趋势库的简单API安装npm install trending-github --save用法const trending = require ( 'trending-github' ) ;trending ( ) . then ( repos => console . log ( repos ) ) ;//=> [{...
GitHubDesktop_2.8.3_64bit_Green.7z
08-18
压缩包内的文件名称列表只有一个:"GitHubDesktop",通常这可能是GitHub Desktop的可执行文件,或者是一个包含所有程序文件的目录。对于一个绿色版软件,这样的结构意味着解压后可以直接运行,无需进行安装过程。 ...
查看内电脑的GUID
weixin_34194379的博客
03-05 254
OptionExplicit 'Declarevariables DimsDomain DimoDomain DimoComputer 'Thisstringspecifiesthedomain(changetosuityourneeds) sDomain="LDAP://cn=Computers,dc=testone,dc=local...
github:Git 常用指令
linwh8的博客
04-01 6945
本文是看完表严肃的视频教程后总结的笔记,视频链接:表严肃讲git,我觉得讲的还不错,算是一个基础的入门吧! 下面我就称表严肃为表老师~ 表老师在视频中将commits形容为“后悔药的制作”,将git版本管理形容为“后悔药箱”,个人觉得真的很生动,无从反驳~ 个人经验:为减少团队合作时冲突出现次数,在每次要编辑个人代码时,需要先git pull,如果有冲突,则修改解决冲突,如果没有,自然最...
git版本管理介绍及口令大全
hunderen的博客
07-27 125
git本地仓库 git的3个区: 工作区(working tree),暂存区(index /stage),本地仓库(repository); 本地仓库: 1.创建好文件夹在文件夹内部打开git 2.进入之后初始化git init //初始化 3.初始化过后文件中会出现一个隐藏的git文件不要动 4.在文件中也内容并添加到暂存区git add . //添加暂存区 5.再由暂存区添加到本地仓库git commit -m "commit message" //提交到仓库(双引号面是注释) 远程仓库 注:本地仓
Github命令行,从口令切换到Token
In-Memory Computing Technology
08-30 621
8月期间,命令行运行git pull命令时,虽然执行成功,但每次都警告要从password切换为token,具体说让看邮件。 今天有空,看了下邮件。实际操作的链接参见文章:Creating a personal access token 整个过程很简单,token的用途如下: Personal access tokens function like ordinary OAuth access tokens. They can be used instead of a password for Git ov
oracle 锁阈值,Account lockout threshold
weixin_29232121的博客
04-11 341
Account lockout threshold09/06/20166 minutes to readIn this articleApplies To: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Serve...
Delphi访问基于LDAP的Active Directory
wnjnfn的博客
04-10 1124
1.创建单元ActiveDs_TLB.pas D7中的创建步骤:Component->Import ActiveX Control 2.
内计算机和用户获取
收集盒 Book box
09-06 484
author:冰点极限-赤龙 显示当前内所有计算机名称及数目 Const ADS_SCOPE_SUBTREE = 2 Set objRootDSE = GetObject(“LDAP://rootDSE“) strDomain = ObjRootDSE.Get(
LDAP系列三用户权限控制
xyy511的专栏
05-24 9491
二:权限控制 8.1:访问控制 访问控制主要是通过在slapd.conf文件中配置来实现,具体配置解析如下: # Sample Access Control # Allow read access of root DSE # Allow self write access # Allow authenticated users read access #...
github kex_exchange_identification: read: Connection reset by peer
最新发布
09-16
github kex_exchange_identification: read: Connection reset by peer错误通常是由于与GitHub服务器之间的连接问题引起的。这可能是由于网络连接不稳定、防火墙设置、代理服务器配置或SSH客户端配置等原因导致的。 解决此问题的一种方法是尝试使用HTTPS协议而不是SSH协议进行连接。在执行git操作时,将远程仓库的URL更改为HTTPS格式,如下所示: ```shell git remote set-url origin https://github.com/username/repo.git ``` 另一种解决方法是通过修改SSH配置文件来更改连接设置。按照以下步骤进行操作: 1. 打开终端,并导航到用户目录下的.ssh文件夹: ```shell cd ~/.ssh ``` 2. 创建或编辑一个名为config的文件: ```shell vi config ``` 3. 将以下内容添加到config文件中: ```shell Host github.com Hostname ssh.github.com Port 443 ``` 4. 保存文件并关闭文本编辑器。 这样做将更改SSH连接的服务器地址和端口,从而解决可能的连接问题。 如果仍然遇到问题,请确保您的网络连接正常,没有防火墙或代理服务器的限制,并且您的SSH密钥正确配置并具有正确的访问权限。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值