非域加入主机的低特权Active Directory枚举

情境

您已经恢复了域的域用户凭据，但是没有对任何目标的特权或交互访问，即没有域管理员帐户或任何能够建立RDP会话的帐户。

介绍

最近，我对几个不受信任的Windows域进行了内部评估。使用Kerberos域用户名枚举并随后执行  SMB密码猜测，可以实现对多个域帐户的访问。

但是，发现没有一个已标识的凭据集具有特权，例如，它们不是Domain Admin，并且，这些帐户都不是“远程桌面用户”组的成员。结果，无法交互访问任何目标主机。

存在许多不同的技术，可以使用非特权用户加入的Pentest便携式计算机使用低特权帐户（即域用户）查询Active Directory，在本文中，我将讨论一些实现此目的的方法。

该枚举的最终目标是：

• 枚举所有域帐户

• 枚举特权帐户以目标用户为目标，即域管理员或“远程桌面用户”组的成员

• 枚举域的密码策略

• 列举进一步的攻击途径

完成此枚举后，可以对帐户进行进一步的密码猜测尝试。

以下示例中使用的域用户凭据是username = ops，password =Pa55word

Windapsearch

我将讨论的第一个工具是windapsearch：

正如该工具的作者所描述的那样：“ windapsearch是一个Python脚本，可通过LDAP查询来帮助枚举Windows域中的用户，组和计算机”

使用我们的先决条件/先前猜测的域用户帐户，可以使用以下语法查询远程域中该域内的所有用户：

windapsearch --dc-ip [IP_ADDRESS] -u [DOMAIN]\\USERNAME -p [PASSWORD] -U

下图显示该工具枚举域中的所有用户（-U开关）：

注意：输出已使用grep和cut进行了一些清理

windapsearch --dc-ip 192.168.5.1 -u mydomain\\ops -p Pa55word -U | grep cn: | cut -d " " -f 2

使用--da开关，我们还可以枚举域管理员：

windapsearch –dc-ip 192.168.5.1 -u mydomain\\ops -p Pa55word --da | grep cn: | cut -d " " -f 2

使用-m开关，我们可以枚举“远程桌面用户”组的成员：

windapsearch --dc-ip 192.168.5.1 -u mydomain\\ops -p Pa55word -m "Remote Desktop Users" | grep CN=

harmj0y

来自harmj0y的出色PowerView可能为我们在域用户/非域联接上下文中提供AD枚举的最佳选择。

在harmj0y的多个博客文章中（见参考资料）对PowerView进行了全面而雄辩的讨论，但是我将仅讨论几个在我们的方案中可能有用的选项。

最初，我们使用，在非域加入的Windows主机上建立PowerShell会话runas，/netonly即，仅为远程访问指定凭据：

runas /netonly /user:mydomain\op powershell （随后会提示我们输入密码）：

注意：我已经在以下路径中安装了PowerSploit（提供PowerView）：

C:\Windows\System32\WindowsPowerShell\v1.0\Modules\PowerSploit-dev

通过以下方式导入PowerSploit之后：

Import-module .\PowerSploit.psd1

我们可以查询所有域用户的域：

Get-DomainUser -Domain mydomain.test -DomainController 192.168.5.1 | findstr samaccountname

我们还可以在域中查询域管理员列表：

Get-DomainGroupMember -identity "Domain Admins" -Domain mydomain.test -DomainController 192.168.5.1 | findstr MemberName

接下来，我们在域中查询“远程桌面用户”组的成员：

Get-DomainGroupMember -identity "Remote Desktop Users" -Domain mydomain.test -DomainController 192.168.5.1 | findstr MemberName

我们还可以查询AD以获取我们当前用户上下文可以访问的所有可用共享的列表：

Find-DomainShare -CheckShareAccess -Domain mydomain.test -DomainController 192.168.5.1

Microsoft远程服务器管理工具（RSAT）

Microsoft RSAT旨在允许管理员从远程计算机管理Windows Server。RSAT为我们提供了另一个从低特权，非连接域上下文中枚举域的选项：

最初，RSAT被证明对于枚举远程Window Domain的密码策略很有用。同样，我们这样做从runas，/netonly启动PowerShell会话（见的PowerView上面的内容）：

Get-ADDefaultDomainPasswordPolicy -Server 192.1685.5.1

我们还可以从GUI角度利用RSAT，这又是通过以下方式启动的runas：

runas /netonly /user:mydomain\ops mmc

接下来，我们通过新的mmc控制台添加“ Active Directory用户和计算机”：

将域控制器实例更改为我们的目标：

然后，我们可以获取域用户社区的图形视图：

域枚举背后的全部目的是为我们提供更多和更特权的帐户，以从密码猜测的角度进行定位。域的密码策略的检索显然也补充了此练习。

本文翻译自 - https://www.attackdebris.com/?p=470