- A+
倒不如说,如何用活动目录浏览器进行渗透!
Mark Russinovich开发的微软系统内部工具各位早已屡见不鲜:系统管理员多年来一直对其爱得深沉,而渗透测试人员则对其功效知之甚少。
我倾心的那款是活动目录浏览器(AD Explorer)。我同事Dave Fletcher(多重身份、出色系统管理员为其一)曾在一次交锋中提醒我使用该工具,此后我便一直在内部测评时对其不离不弃。这些针对的是在互联网上暴露域控制器(domain controller)的机构,同样适用于外部测试。
以下为Shodan搜索引擎的具体使用。
仅需一个能与域控制器进行对话、能确定域名的域名账号即可。该账号会设置OU结构,用户账号、计算机账户,其可帮助寻找特权用户及数据库服务器(database servers)等目标。
其如所有系统内部工具一样分立可执行且无需安装。因此只要在某处写入,都可以从http://live.sysinternals.com.上进行下载。
点击直接从微软站点载入可执行程序
接下来,我们共同见证该工具的神奇之处。下图目标的元数据来可能会给你一些线索。看样子找到了CIO的电脑。虽未听说过此人,但如果得知CIO电脑的名字,就禁不住寻找登录的方法,并在内存中抓取凭证:这可是绝佳的特权账户。
没有写入或未被允许下载?如未将文件下载,可直接从运行框或浏览器窗口通过UNC路径执行
点击直接从微软站点载入可执行程序
接下来,我们共同见证该工具的神奇之处。下图目标的元数据来可能会给你一些线索。看样子找到了CIO的电脑。虽未听说过此人,但如果得知CIO电脑的名字,就禁不住寻找登录的方法,并在内存中抓取凭证:这可是绝佳的特权账户。
这些信息中或许还会有诸如“info”这样属性的信息。下面例子中会展示一次真实测试中的活动目录记录。敏感数据已经修改,但仍展示出了社工良机(想想密码重置)!
如若你想寻找高规格目标服务器,这些组织命名的规则多半会提供帮助。通常服务器根据其功能进行命名,如名字中带“SQL”或“Sharepoint”
AD浏览器中的搜索特性表现尚佳,可在成山数据中找到你想要的。比如,你是否需要确认禁用账号?只需选择用户账号控制属性并搜索数值514(实际上用户账号控制属性是体现多个标记的数值,其中包含“禁用”标记,故过期账号可有多个数值,但最常用的数值为514)。
如果权限足够高,你还可以添加并修改目标、属性。虽说活动目录用户和计算机并不会允许你这么做,但在渗透测试中,该特性还是有用的。作为小样,我在测试域名中为用户Grace添加了“评论”属性。
该工具还是你截屏的理想选择…
你可以拷贝到任何位置并在AD浏览器中重新打开查看。
截屏查看不能修改,但作侦察活动之用绝佳。
AD浏览器还可对两张截图进行差异指令(diff)。这对渗透测试者来说用处何在?访问域名后即刻截图,而后在黑客活动后人们开始更换密码或禁用账号时,你可再次截图,看谁更换过密码或哪些账号禁用。AD浏览器虽不允许你修改密码或是更换状态,使禁用变回为可用(即便是DA也不行)但至少通过该方法,你可以检查并回避禁用账号,保持隐身状态。
关于外部测试,如果你为网上暴露的DC进行Shodan搜索呢?如想使用AD浏览器连接服务器,当然需要一个域名账号。下文搜索是针对两个常用的LDAP端口和一个包含“DC”字母的主机名。通过互联网进行访问的出奇多。
或进一步添加至端口445来发现可能存在漏洞的域名控制器(影子经纪人新泄露的SMB(服务器信息块)漏洞)。(注:三个端口并非时时打开)
一个服务器受到损害可能代表对整个域名的侵害。确认你的机构未在该名单之上!
其他关于AD浏览器的其他小技巧请多多分享!
*参考来源:blackhillsinfosec,转载请注明来自MottoIN
- 我的微信
- 这是我的微信扫一扫
-
- 我的微信公众号
- 我的微信公众号扫一扫
-
