域渗入——普通用户权限取得DNS纪录 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

域渗入——普通用户权限取得DNS纪录

申博_新闻事件 申博 160次浏览 已收录 0个评论

0x00 媒介

在之前的文章《域渗入——DNS纪录的猎取》引见了域渗入中取得DNS管理员权限后猎取DNS纪录的要领,而更广泛的状况是只要域普通用户的权限,也须要取得DNS纪录。

本文将会参考公然的材料,整顿域普通用户取得DNS纪录的要领,修复dns-dump.ps1在高版本Windows体系下的bug。

0x01 简介

本文将要引见以下内容:

· 完成道理

· 开源的东西和要领

0x02 完成道理

1.SharpAdidnsdump的完成道理

先经由过程LDAP查询取得域内计算机的称号,再经由过程DNS查询取得对应的IP。

细致完成细节可参考:

https://github.com/b4rtik/SharpAdidnsdump

测试情况: test.com

(1)经由过程LDAP查询取得域内计算机的称号

对应LDAP的查询参数以下:

LDAP://test.com/DC=test.com,CN=microsoftdns,DC=DomainDnsZones,DC=test,DC=com
(&(!(objectClass=DnsZone))(!([email protected]))(!(DC=*arpa))(!(DC=*DNSZones)))

(2)经由过程DNS查询取得域内计算机对应的IP

运用Dns.GetHostEntry要领,参考材料:

https://docs.microsoft.com/en-us/dotnet/api/system.net.dns.gethostentry?redirectedfrom=MSDN&view=netframework-3.5#System_Net_Dns_GetHostEntry_System_String_

2.dns-dump的完成道理

先经由过程LDAP查询取得DNS纪录,对二进制的DNS纪录举行解码,取得现实内容。

DNS纪录解码的细节可参考:

https://github.com/mmessano/PowerShell/blob/master/dns-dump.ps1#L483

0x03 开源的东西和要领

测试情况:

· test.com

· Server2012 R2

1.先经由过程LDAP查询取得域内计算机的称号,再经由过程DNS查询取得对应的IP

(1)SharpAdidnsdump

https://github.com/b4rtik/SharpAdidnsdump

C#完成,用于查询DNS纪录。

用法:

SharpAdidnsdump test.com

取得的效果完全,同dnscmd的效果一致

注:dnscmd的用法能够参考之前的文章《域渗入——DNS纪录的猎取》

(2)adidnsdump

https://github.com/dirkjanm/adidnsdump

https://dirkjanm.io/getting-in-the-zone-dumping-active-directory-dns-with-adidnsdump/

Python完成,用于查询DNS纪录。

Plead恶意软件分析

ESET研究人员发现一个之前D-Link公司使用的代码签名证书签名的后门软件——Plead。近期,研究人员检测到一起新的攻击活动,其中也使用了Plead恶意软件,并连接到华硕云公司开发的合法软件。 Trend Micro之前的分析显示,Plead恶意软件是BlackTech黑客组织使用的一款后门软件。BlackTech组织主要攻击亚洲地区进行网络监控活动。 ESET检测到的这起新攻击活动攻击的目标是台湾地区,其中Plead恶意软件已经被广泛应用了。 攻击活动概述 2019年4月底,ESET研究人员发现一起尝试应用Plead恶意软件的攻击活动。其中,Plead后门是由合法进程AsusWSPanel.exe创建和执行的。AsusWSPanel.exe进程是ASUS WebStorage云储存服务的Windows客户端。如图1所示,可执行文件的签名为华硕云公司。 图1.  AsusWSPanel.exe代码签名证书 所有发现的Plead样本都含有文件名:Asus Webstorage Upate.exe [sic]。研究人员确认ASUS WebStorage的AsusWSPanel.exe模块可以在软件更新过程中创建含有上面文件名的文件,如图2所示。 图2. ASUS WebStorage客户端的反编译代码 为什么合法软件会创建和执行Plead恶意软件呢?下面是几种可能的解释。 场景1 – 供应链攻击 攻击者利用供应链攻击可以同时静默地入侵大

适用于Linux,因为须要装置impacket,因而没法直接在Windows体系下运用。

装置要领:

git clone https://github.com/SecureAuthCorp/impacket.git
cd impacket
pip install .
cd ..
git clone https://github.com/dirkjanm/adidnsdump
cd adidnsdump
pip install .

须要先取得一个域用户的凭证(明文口令或NTLM hash)。

用法1.直接长途查询:

adidnsdump -u test\\testuser1 -p test123! dc.test.com -r

用法2.经由过程socks署理举行查询:

proxychains adidnsdump -u test\\testuser1 -p test123! dc.test.com -r --dns-tcp

注:还能够运用NTLM hash作为登录凭证。

2.先经由过程LDAP查询取得DNS纪录,对二进制的DNS纪录举行解码,取得现实内容

(1)dns-dump

https://github.com/mmessano/PowerShell/blob/master/dns-dump.ps1

Powershell完成,用于查询DNS纪录。

这个powershell剧本较为陈旧,我在我的测试情况Server2008R2和Server2012R2下均失利。

经由剖析,须要修正LDAP的查询语句,新的剧本已上传至github,地点以下:

https://github.com/3gstudent/Homework-of-Powershell/blob/master/dns-dump.ps1

用法:

Powershell -ep bypass -f dns-dump.ps1 -zone test.com

取得的效果完全,同dnscmd的效果一致。

(2)PowerView

https://github.com/PowerShellMafia/PowerSploit/blob/master/Recon/PowerView.ps1

也可用于查询DNS纪录。

个中的Convert-DNSRecord可用来对二进制的DNS纪录举行解码:

https://github.com/PowerShellMafia/PowerSploit/blob/master/Recon/PowerView.ps1#L1814

用法以下:

import-module PowerView.ps1
Get-DNSRecord -ZoneName test.com

3.其他东西

(1)AdFind

C++完成(未开源),用于查询域内信息。

http://www.joeware.net/freetools/tools/adfind/index.htm

常用命令以下:

列出域控制器称号:

AdFind -sc dclist

查询以后域中在线的计算机:

AdFind -sc computers_active

注:对应的LDAP查询前提以下:

Transformed Filter: (&(objectcategory=computer)(!(useraccountcontrol:1.2.840.113556.1.4.803:=2))(pwdlastset>=131932198595370000)(|(!lastlogontimestamp=*)(&(lastlogontimestamp=*)(lastlogontimestamp>=131932198595370000))))

查询以后域中在线的计算机(只显示称号和操作体系):

AdFind -sc computers_active name operatingSystem

查询以后域中一切计算机:

AdFind -f "objectcategory=computer"

查询以后域中一切计算机(只显示称号和操作体系):

AdFind -f "objectcategory=computer" name operatingSystem

查询域内一切用户:

AdFind -users name

查询一切GPO:

AdFind -sc gpodmp

AdFind -gpo

注:查询GPO对应之前的文章《域渗入——应用GPO中的计划任务完成长途实行》

0x04 小结

本文引见了多种域普通用户取得DNS纪录的要领,适用于分歧的情况,在现实运用过程当中,某些状况下AdFind的查询效力较低。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明域渗入——普通用户权限取得DNS纪录
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址