|
非域加入主机的低特权Active Directory枚举时间:2020-11-04 情境您已经恢复了域的域用户凭据,但是没有对任何目标的特权或交互访问,即没有域管理员帐户或任何能够建立RDP会话的帐户。 介绍最近,我对几个不受信任的Windows域进行了内部评估。使用Kerberos域用户名枚举并随后执行 SMB密码猜测,可以实现对多个域帐户的访问。 但是,发现没有一个已标识的凭据集具有特权,例如,它们不是Domain Admin,并且,这些帐户都不是“远程桌面用户”组的成员。结果,无法交互访问任何目标主机。 存在许多不同的技术,可以使用非特权用户加入的Pentest便携式计算机使用低特权帐户(即域用户)查询Active Directory,在本文中,我将讨论一些实现此目的的方法。 该枚举的最终目标是:
完成此枚举后,可以对帐户进行进一步的密码猜测尝试。 以下示例中使用的域用户凭据是username = Windapsearch我将讨论的第一个工具是windapsearch: 正如该工具的作者所描述的那样:“ windapsearch是一个Python脚本,可通过LDAP查询来帮助枚举Windows域中的用户,组和计算机” 使用我们的先决条件/先前猜测的域用户帐户,可以使用以下语法查询远程域中该域内的所有用户:
下图显示该工具枚举域中的所有用户(-U开关): 注意:输出已使用grep和cut进行了一些清理
使用
使用
harmj0y来自harmj0y的出色PowerView可能为我们在域用户/非域联接上下文中提供AD枚举的最佳选择。 在harmj0y的多个博客文章中(见参考资料)对PowerView进行了全面而雄辩的讨论,但是我将仅讨论几个在我们的方案中可能有用的选项。 最初,我们使用,在非域加入的Windows主机上建立PowerShell会话
注意:我已经在以下路径中安装了PowerSploit(提供PowerView):
通过以下方式导入PowerSploit之后:
我们可以查询所有域用户的域:
我们还可以在域中查询域管理员列表:
接下来,我们在域中查询“远程桌面用户”组的成员:
我们还可以查询AD以获取我们当前用户上下文可以访问的所有可用共享的列表:
Microsoft远程服务器管理工具(RSAT)Microsoft RSAT旨在允许管理员从远程计算机管理Windows Server。RSAT为我们提供了另一个从低特权,非连接域上下文中枚举域的选项: 最初,RSAT被证明对于枚举远程Window Domain的密码策略很有用。同样,我们这样做从
我们还可以从GUI角度利用RSAT,这又是通过以下方式启动的
接下来,我们通过新的mmc控制台添加“ Active Directory用户和计算机”: 将域控制器实例更改为我们的目标: 然后,我们可以获取域用户社区的图形视图: 域枚举背后的全部目的是为我们提供更多和更特权的帐户,以从密码猜测的角度进行定位。域的密码策略的检索显然也补充了此练习。 本文翻译自 - https://www.attackdebris.com/?p=470 |