域渗透神器-AD Explorer使用指南

liudao  114天前

Mark Russinovich的Sysinternals工具(微软)大家都听说过。多年来,它们一直是系统管理员喜欢的工具。我也很喜欢这款工具,但我更喜欢的是AD Explorer,我一直使用它进行内部系统的测试和评估。

首先需要一个域帐户 ( 任何一个域帐户都可以 ), 可以利用该账户与域控制器通信并用它枚举域。它能够列出域组织架构,用户帐户,计算机帐户等。它可以帮助你寻找特权用户和数据库服务器等敏感目标。与Sysinternals工具一样,AD Explorer是独立的可执行文件,无需安装。因此,只要您在某个文件夹有写入权限,就可以从http://live.sysinternals.com下载运行这个工具。


1.png

如果没有写入权限或者不允许下载可执行文件,也可以直接从“运行”框或“资源管理器”窗口输入下面的UNC路径,在未下载文件到磁盘的情况下执行。

\\live.sysinternals.com\tools\ADExplorer.exe

2.png

点击可执行文件将其直接加载到内存中

让我们看几个示例。 首先找到有价值的目标,如下面的屏幕截图所示。在这里找到了CIO笔记本电脑。 可能每个人方法都不一样,但如果我知道CIO计算机的账户名,我会想办法登陆进去并从内存中拿到密码。 毕竟这是一个权限比较高的帐户。

3.png

可能还有其他有用的属性信息,比如“info”属性。 在下面的示例中,我们展示了实际测试中的某个域信息。 因为数据非常敏感,图片被打码了,这些信息提供给我很多社工的突破口(想想密码重置)!

4.png

如果想找到有价值的敏感服务器,可以看下服务器的名称。 因为服务器经常根据其功能命名。例如, 数据库服务器名称中经常带有“SQL”。

5.png

而AD Explorer中的搜索功能也非常出色,可以对大量数据进行分类,帮助你找到需要的内容。 例如,是否需要识别已禁用的帐户? 只需选择userAccountControl属性并搜索值514。(实际上,userAccountControl属性含有多个标志,其中一个标志是“禁用”标志,这里有多个值可以表示账户已禁用,一般这个值为514。)

6.png

如果你具有足够高的权限,则还可以添加和修改对象和属性。 虽然它的功能还是有限,但对内网渗透仍有很大帮助。 在下图中,我在测试域中为用户Grace添加了“Comment”属性。

7.png

8.png

并且这个工具还有保存快照的功能,你可以随时保存快照并在AD Explorer中将其打开查看。

9.png

10.png

查看快照不会改变目标系统任何设置,非常适合进行信息收集。

AD Explorer还可以比较两个快照的“差异”。在渗透测试前拍摄快照,如果内部人员更改了某些系统的密码,此时再拍摄一个快照,观察谁更改了密码或哪些已被禁用。虽然AD Explorer不能修改密码或将状态从禁用更改为启用,但可以很隐蔽的监视检查帐户禁用状态。

对于外部测试,如果要使用AD Explorer连接到服务器,则需要提供域帐户。 在shodan上针对两个常见的LDAP端口和包含“DC”的主机名进行搜索,会发现有很多服务器可以直接从互联网访问。

11.png

或者更进一步,再添加445端口,查找可能会受到SMB漏洞攻击的域控制器。 (注意:并非所有服务器都打开了这三个端口。)

如果域控服务器被成功控制,整个域中的服务器也将被控制。检查并确保你的服务器不在shodan的搜索结果之内。

12.png

!! 2018年5月新添加的提示和技巧!!

使用AD Explorer进行网络钓鱼

如果要从外部电子邮件地址向特定组发送有针对性的钓鱼邮件,则可以查询域信息以获取允许收到外部邮件的通讯组。 当 msExchRequireAuthToSendTo属性为False时,任何人都可以向该组发送邮件。

13.png

你还可以双击搜索结果中的组,然后检查组的成员属性以获取成员列表。 可以通过这种方式提取单个电子邮件地址,这么做比较麻烦,但这样可以使电子邮件中的收件人看起来更加可信。

从命令行创建快照

AD Explorer有图形化界面,但是图形化界面有时会报错。 你可以从shell中创建一个快照。将AD Explorer上传到目标服务器,并使用以下命令:

adexplorer.exe -snapshot "" mysnap.dat
或者以不写入文件的方式来执行:

\\live.sysinternals.com\tools\adexplorer.exe -snapshot "" snap.dat
你可以输入“adexplorer /?”来查看语法:


14.png

寻找特权账户

此外,如果你想寻找特权帐户,不要忘记检查Builtin Administrators组。 里面的帐户不一定是域管理员,但可能是可以访问域控制器的本地管理员!

15.png


寻找密码

在大多数域的模式中,有3-4个字段似乎很常见,UserPassword,UnixUserPassword,unicodePwd和msSFU30Password。 在大量测试中,我们发现这些字段中的一个或多个都代表了ACTUAL密码。 虽然有时会通过转换为ASCII十进制等值来进行混淆,但可以通过“man ascii”来进行破解。

以下是我们最近拍摄的快照示例。

16.png

上图中这两个密码相同,解码都为A B C D! e f g h 1 2 3 4 5 $ 6 7 8 9 0。如果你知道使用AD Explorer的任何其他提示或技巧,请联系我们。

谢谢!



本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://www.blackhillsinfosec.com/domain-goodness-learned-love-ad-explorer/

最新评论

昵称
邮箱
提交评论

友情链接:FOFA FOEYE BCSEC BAIMAOHUI 安全客 i春秋

nosec.org All Rights Reserved 京ICP备15042518号