首页 >> 网络安全 >>渗透测试 >> 非域加入主机的低特权Active Directory枚举
详细内容

非域加入主机的低特权Active Directory枚举

时间:2020-11-04     作者:Richard   阅读

情境

您已经恢复了域的域用户凭据,但是没有对任何目标的特权或交互访问,即没有域管理员帐户或任何能够建立RDP会话的帐户。

介绍

最近,我对几个不受信任的Windows域进行了内部评估。使用Kerberos域用户名枚举并随后执行  SMB密码猜测,可以实现对多个域帐户的访问。

但是,发现没有一个已标识的凭据集具有特权,例如,它们不是Domain Admin,并且,这些帐户都不是“远程桌面用户”组的成员。结果,无法交互访问任何目标主机。

存在许多不同的技术,可以使用非特权用户加入的Pentest便携式计算机使用低特权帐户(即域用户)查询Active Directory,在本文中,我将讨论一些实现此目的的方法。

该枚举的最终目标是:

  • 枚举所有域帐户

  • 枚举特权帐户以目标用户为目标,即域管理员或“远程桌面用户”组的成员

  • 枚举域的密码策略

  • 列举进一步的攻击途径

完成此枚举后,可以对帐户进行进一步的密码猜测尝试。

以下示例中使用的域用户凭据是username = ops,password =Pa55word

Windapsearch

我将讨论的第一个工具是windapsearch

正如该工具的作者所描述的那样:“ windapsearch是一个Python脚本,可通过LDAP查询来帮助枚举Windows域中的用户,组和计算机”

使用我们的先决条件/先前猜测的域用户帐户,可以使用以下语法查询远程域中该域内的所有用户:

windapsearch --dc-ip [IP_ADDRESS] -u [DOMAIN]\\USERNAME -p [PASSWORD] -U

下图显示该工具枚举域中的所有用户(-U开关):

注意:输出已使用grep和cut进行了一些清理

windapsearch --dc-ip 192.168.5.1 -u mydomain\\ops -p Pa55word -U | grep cn: | cut -d " " -f 2

1.png

使用--da开关,我们还可以枚举域管理员:

windapsearch –dc-ip 192.168.5.1 -u mydomain\\ops -p Pa55word --da | grep cn: | cut -d " " -f 2

2.png

使用-m开关,我们可以枚举“远程桌面用户”组的成员:

windapsearch --dc-ip 192.168.5.1 -u mydomain\\ops -p Pa55word -m "Remote Desktop Users" | grep CN=

3.png

harmj0y

来自harmj0y的出色PowerView可能为我们在域用户/非域联接上下文中提供AD枚举的最佳选择。

在harmj0y的多个博客文章中(见参考资料)对PowerView进行了全面而雄辩的讨论,但是我将仅讨论几个在我们的方案中可能有用的选项。

最初,我们使用非域加入的Windows主机上建立PowerShell会话runas/netonly即,仅为远程访问指定凭据:

runas /netonly /user:mydomain\op powershell (随后会提示我们输入密码):

image.png


注意:我已经在以下路径中安装了PowerSploit(提供PowerView):

C:\Windows\System32\WindowsPowerShell\v1.0\Modules\PowerSploit-dev

通过以下方式导入PowerSploit之后:

Import-module .\PowerSploit.psd1

我们可以查询所有域用户的域:

Get-DomainUser -Domain mydomain.test -DomainController 192.168.5.1 | findstr samaccountname

image.png

我们还可以在域中查询域管理员列表:

Get-DomainGroupMember -identity "Domain Admins" -Domain mydomain.test -DomainController 192.168.5.1 | findstr MemberName

image.png

接下来,我们在域中查询“远程桌面用户”组的成员:

Get-DomainGroupMember -identity "Remote Desktop Users" -Domain mydomain.test -DomainController 192.168.5.1 | findstr MemberName

image.png

我们还可以查询AD以获取我们当前用户上下文可以访问的所有可用共享的列表:

Find-DomainShare -CheckShareAccess -Domain mydomain.test -DomainController 192.168.5.1

image.png

Microsoft远程服务器管理工具(RSAT)

Microsoft RSAT旨在允许管理员从远程计算机管理Windows Server。RSAT为我们提供了另一个从低特权,非连接域上下文中枚举域的选项:

最初,RSAT被证明对于枚举远程Window Domain的密码策略很有用。同样,我们这样做从runas/netonly启动PowerShell会话(见的PowerView上面的内容):

Get-ADDefaultDomainPasswordPolicy -Server 192.1685.5.1

image.png

我们还可以从GUI角度利用RSAT,这又是通过以下方式启动的runas

runas /netonly /user:mydomain\ops mmc

接下来,我们通过新的mmc控制台添加“ Active Directory用户和计算机”:

image.png

将域控制器实例更改为我们的目标:

image.png

然后,我们可以获取域用户社区的图形视图:

image.png

域枚举背后的全部目的是为我们提供更多和更特权的帐户,以从密码猜测的角度进行定位。域的密码策略的检索显然也补充了此练习。

本文翻译自 - https://www.attackdebris.com/?p=470
技术支持: 建站ABC | 管理登录