AD攻防-域用户HashDump追踪之道

本文大纲如下：基本概念NTDS.ditntds.dit为ad的数据库（C:\Windows\NTDS），内容有域用户、域组、域用户hash等信息，域控上的ntds.dit只有可以登录到域控的用户（如域管用户 ；DCSync就是利用这个原理，通过域同步服务的GetNCChanges接口向目标域控服务器发起域用户Hash的同步请求进而获得完整的域用户Hash列表。 的用户获取相关权限的情况，结合AcessMask字段和Username字段可以作为排查这种攻击的一种方式：所需的权限列表：'DS-Replication-Get-Changes' = 1131f6aa-9c07-11d1 -f79f-00c04fc2dcd2 'DS-Replication-Get-Changes-All' = 1131f6ad-9c07-11d1-f79f-00c04fc2dcd2 'DS-Replication-Get-Changes-In-Filtered-Set 结尾AD攻防自成体系，Dump域用户Hash只是冰山一角，通过深入剖析各种Dump手法和原理，加深对AD安全的理解及系统日志的熟悉，更好的在安全运营监控/应急响应中快速定位攻击行为，欢迎师傅们拍砖交流～

AD攻防-域用户HashDump追踪之道

本文大纲如下： 基本概念 NTDS.dit ntds.dit为ad的数据库（C:\Windows\NTDS），内容有域用户、域组、域用户hash等信息，域控上的ntds.dit只有可以登录到域控的用户 则会重复上述请求；DCSync就是利用这个原理，通过域同步服务的GetNCChanges接口向目标域控服务器发起域用户Hash的同步请求进而获得完整的域用户Hash列表。 的用户获取相关权限的情况，结合AcessMask字段和Username字段可以作为排查这种攻击的一种方式： 所需的权限列表： 'DS-Replication-Get-Changes' = 1131f6aa-9c07-11d1 -f79f-00c04fc2dcd2 'DS-Replication-Get-Changes-All' = 1131f6ad-9c07-11d1-f79f-00c04fc2dcd2 'DS-Replication-Get-Changes-In-Filtered-Set 结尾 AD攻防自成体系，Dump域用户Hash只是冰山一角，通过深入剖析各种Dump手法和原理，加深对AD安全的理解及系统日志的熟悉，更好的在安全运营监控/应急响应中快速定位攻击行为，欢迎师傅们拍砖交流

AD域攻防权威指南:二.域DNS信息收集

一、域DNS信息收集 在域内获取DNS记录分为两种情况：一种是拥有了域管理员权限进行后渗透时，获取DNS记录便于下一步寻找目标；另一种是进入内网后，因为权限较低，需要获取DNS记录以寻找下一步的渗透方向进行权限提升 2) 利用LDAP通过普通域用户获取域内DNS信息。首先通过LDAP查询获得DNS记录，对二进制的DNS记录进行解码，获得实际内容。 3.使用PowerShell模块进行域信息收集 域信息收集一般可以通过net（MS-SAMR）、LDAP、RSAT等方法实现，这里重点说一下RSAT。 Windows Server 2008 R2（以及更新版本）提供了多个AD PowerShell cmdlet，这极大简化了使用ADSI（Active Directory Service Interface 使用AD PowerShell cmdlet前，需要在Windows客户端上安装RSAT，并确保已安装Active Directory PowerShell模块。

AD域攻防权威指南:三十一.域分析之CornerShot

CornerShot简介BloodHound可以分析域内的攻击路径，但无法获知主机之间的网络访问权限，这使得BloodHound中攻击路径的准确性大大降低。 CornerShot只要拥有正确的域用户账户和密码，就可以使用Microsoft中的RPC方法来强制远程主机对任何计算机发起访问。 2）基本使用命令：参数说明：|参数|说明||---|---||user|域内用户名||password|域用户密码||domain|域名||carrier|双网卡计算机IP（中继主机）||target| 表1-1测试环境配置|主机类型|隶属域|网络信息||---|---|---||Kali（攻击机）|GOD.ORG|192.168.52.135||Win10（域内）|GOD.ORG|192.168.52.144 /192.168.72.139||Win7（域内）|GOD.ORG|192.168.52.133/192.168.72.132||Win2008（域内）|GOD.ORG|192.168.72.138|5.2

AD域攻防权威指南:三十二.域分析之Adfind

Adfind的主要特点包括：轻量便携：单文件可执行程序，无需安装，可直接在目标主机上运行功能全面：支持查询用户、组、计算机、OU、GPO、信任关系、ACL等几乎所有AD对象灵活过滤：支持LDAP过滤语法 ，可精确筛选所需信息输出可控：支持自定义输出属性，并可导出为CSV等格式便于后续分析在域渗透测试中，Adfind常用于信息收集阶段，帮助测试人员快速了解域内结构、识别高价值目标（如域管理员、服务账户）、 ="center">图1-8查询域控版本

AD域攻防权威指南:三十四.域分析之SharpADWS

侦查和利用工具，在安装ActiveDirectoryDomainServices(ADDS)后，ActiveDirectoryWebServices(ADWS)将自动开启，因此SharpADWS在所有域环境中都可以使用 该缓存包含当前域内每个账户对象名称与其objectSid的映射，执行命令及结果如图1-2所示：

AD域攻防权威指南:三十五.域分析之SOAPHound

AD域攻防权威指南:三十三.域分析之AdExplorer

一、域分析之AdExplorerAdExplorer（ActiveDirectory资源管理器）是高级ActiveDirectory(AD)查看器和编辑器。 如果有一个AD数据库的两个快照，则可以使用AD资源管理器的比较功能来查看它们之间更改了哪些对象、属性和安全权限。 下载地址：https://download.sysinternals.com/files/AdExplorer.zip二、连接AD下载AdExplorer后，会弹出连接对话框，我们对应输入域控的IP，以及域用户的账号密码后即可进行使用 也可以使用命令行的形式进行拍摄快照，命令及执行结果如图1-9所示

AD域攻防权威指南:九.利用备份组获取域Hash

1.00图1-1backup用户所在的组:::2.2验证对域控文件的访问能力（读/写）使用backup用户列举域控C:盘目录，验证文件访问能力，如图1-2所示。 可以看到，当backup用户位于域控本地BackupOperators组内时，通常对域控文件具备读取能力；但如图1-3所示，并不一定具备写入权限。:::center! 1.00图1-2域控文件访问权限::::::center! 1.00图1-10卷影副本F盘:::3.从卷影副本中复制目标文件（如图1-11）：:::center! 1.00图1-11获取SYSTEM文件:::2.7从域控远程拉取凭据相关文件（BackupOperatorToDA）BackupOperators具备域内“备份语义”相关能力，可借助BackupOperatorToDA

AD域攻防权威指南:八.利用LAPS获取Windows域Hash

在一些中大型企业中，员工数量较多，运维人员为了方便管理每个员工的计算机，可能会为所有计算机的账号设置统一的口令，以对它们进行统一配置，并且将它们批量加入域。 在2014年5月之前，也就是MS14-025的补丁发布之前，域允许管理员通过组策略直接修改本地管理员密码，但是随着补丁发布，这种方式就不被允许了。随后微软推出了LAPS解决方案。 我们可以使用 LAPSUI 直接查看域内计算机的本地密码，如图 1-1 所示。 使用 ldapsearch 获取域内 ms-MCS-AdmPwd 属性值，执行命令如下（如图 1-2）： ms-MCS-AdmPwd=*)" ms-MCS-AdmPwd 图 1-2 使用 ldapsearch 获取 LAPS 凭据当然也可以直接在域控计算机中执行命令来进行查询

AD域攻防权威指南:五.利用Dcsync获取Windows域Hash

利用 DCSync 获取域内用户哈希执行DCSync攻击的域用户必须具有复制目录更改所有项(Replicating Directory Changes All)权限和复制目录更改(Replicating Directory Changes)权限，而在域内默认拥有这两种权限的用户如下。 域管理员组。企业管理员组。域控制器计算机账号。接下来演示如何通过Mimikatz的DCSync 能获取全部域用户哈希凭据。 .\ com用户，该用户为域用户而非域管理员，但在域内拥有的权限包括"复制目录更改"与"复制目录更改所有项"，具体如图 1-2 所示。 图1-2 用户在域内权限设置2、利用该用户执行 Mimikatz 的 DCSync 功能以获取指定域用户哈希。

AD域攻防权威指南:六.域外利用DCSync获取域用户哈

也就是说，假设域内有个用户 test.com/test1，其密码为 password@456，而客户端拥有的用户并不在域内，用户名为 test1，密码为 password@456，那么在 AS_REQ 环节中，利用 test.com/test1 去请求 KDC，与利用不在域内的 test1 去请求 KDC 的效果是一样的。 在这个过程中，如果 test.com/test1 拥有 DCSync 权限，那么就可以通过域外用户 test1 的身份使用 DCSync 功能获取域哈希。 想要利用该手段必须满足 3 个条件：域内用户拥有 DCSync 权限；域外用户和域内用户的账号及密码一致；将域外主机的 DNS 指向域控制器，并通过 VPN 接入域内。 下面将会演示如何在域外利用 DCSync 功能获取域用户哈希。确定域外用户 test1 的密码和域内用户 test.com/test1 的密码是一致的。

AD域攻防权威指南:二十六.域分析之BloodHound（一）

一、简介BloodHound是一款开源的AD域分析工具，它以图与线的形式，将域内用户、计算机、组、会话、ACL以及域内所有相关用户、组、计算机、登录信息、访问控制策略之间的关系只管展现，帮助红队便捷地分析域内情况 蓝队成员可使用BloodHound对己方网络系统进行更好的安全检测以保证域的安全性。BloodHound通过在域内导出相关信息，再将数据采集后，导入本地安装好的Neo4j数据库中，使域内信息可视化。 SharpHound默认收集ActiveDirectory安全组成员资格、域信任、AD对象的可滥用权限、OU树结构、组策略链接、最相关的AD对象属性、域加入的Windows系统的本地组和用户会话等信息。 Powershell版本的脚本以供信息收集使用，由于微软默认情况下执行策略为不允许任何脚本执行，所有使用前我们需要对相应的执行策略进行修改，命令为set-executionpolicyremotesigned，如图1-11 所示（需本地管理员权限）

AD域攻防权威指南:四.利用NTDS.DIT获取Windows域Hash

1.NTDS.DIT文件简介NTDS.DIT文件是域控制器中的数据库文件，该文件作为AD的数据库，存储了AD的所有数据，包括域内的用户对象、组和组成员身份等信息，以及域内所有用户的凭据信息。 NTDS.DIT文件与前文所讲的SAM文件类似，不同点在于SAM文件中只存放本机的用户哈希凭据，而NTDS.DIT文件中存放了所有域用户的哈希凭据。 利用该工具可以维护和管理AD的数据库，清理不常用的服务器对象，整理AD数据文件下线碎片等。 文件5)执行命令copyC:\$SNAP_202211101818_VOLUMEC$\windows\system32\config\SYSTEMC:\SYSTEM将解密文件复制出来，执行结果如图1-11 图1-11从快照中复制SYSTEM文件将所需文件导出后，使用工具进行解密即可。

AD域攻防权威指南:三十六.域分析之Group3r

一、Group3r简介Group3r是C#编写的组策略检测工具，用于Pentester和红队成员快速枚举AD组策略中的相关设置，并在其中识别可利用的错误配置的工具，它通过LDAP连接域控解析域SYSVOL 二、输出方式Group3r实现了两种输出方式，命令参数及含义如表1-11所示。 表1-11查看Group3r输出方式|\-s|通过标准输出结果||---------------|----------------||\-fgroup3r.log|通过文件输出结果|三、使用方式Grou3r 使用十分简单，只需要执行如下命令即可对域内错误配置进行检测，执行命令及结果如图1-1所示

AD域攻防权威指南:十.SCCM基本知识介绍

SCCM 介绍SCCM（System Center Configuration Manager）用于部署更新、管理工作站及服务器上的软件，并向各类设备打补丁（如主域控、Exchange 服务器、员工笔记本等

AD域攻防权威指南:三十.域分析之LDAP信息收集及分析

1概述在ActiveDirectory域环境中，任何经过身份验证的用户或计算机都可以通过域控制器上的LDAP服务获取大量域信息。攻击者常在AD域渗透的侦察阶段利用LDAP进行信息收集。 如图1-3所示，数据库中包含25,138个用户、4,367台计算机、2,298个组、464,353条ACL、525,628个关系，以及从不同路径到达域管理员的攻击路径。! IMG325<palign="center">图1-3导入BloodHound后数据库

AD域攻防权威指南:三.组策略信息收集（一）

组策略可分为本地组策略和域组策略。 1.本地组策略收集 本地组策略(Local Group Policy)是组策略的基础版本，它面向独立且非域的计算机， 包含计算机配置及用户配置策略，如图1-1所示。 6）单击“显示文件”按钮(见图 1-7)就会打开一个目录，可以向该目录投放后门木马，实现权限维持，如图 1-8所示 2 域组策略收集 当想批量管理域内计算机时，域管理员就可以通过组策略管理来统一对域内用户进行管 接下来详细阐述域内组策略内容。 之后就可以看到其中的具体内容，如图1-11所示。

AD域攻防权威指南:一.域控制器信息收集

一、 域信息收集 Active Directory是一个可以通过域控制器来管理连接在同一逻辑网络中的一组计算机和用户系统。 Windows域包含以下组件： LDAP：可以通过LDAP访问的数据库，并且该数据库实现了符合【MS-DRSR】及【MS-ADTS】规范的几种RPC。 DNS：支持认证的DNS服务器，客户端使用该DNS定位相关资源 1 、域控制器收集 进入内网的后渗透阶段，一般分为两种情况，一种是工作组渗透，另一种是域渗透。 但是即使存在域环境，我们拿到的第一台计算机也不一定在域内，需要通过多种方式确定域控制器的位置，进而控制整个域。 SAMR获取域控制器地址 使用net group "domain controllers" /domain命令在域内通过SAMR获取域控制器地址，如图1-4所示

AD域攻防权威指南:二十一.SCCM分析之SCCMHunter

工具简介Sccmhunter是用于针对sccm相关资产的自动化信息收集工具，主要作用为识别、分析和攻击。其中sccmhuncter的find模块通过ldap协议查询和SCCM相关的资产，其主要是通过侦查ACL来实现相关功能，如针对"sccm"或"MECM"等关键字来进行识别，SMB模块则是通过检查和SCCM相关的资产所配置的默认共享以及检查主机的SMB签名状态后进行分析。通过FIND模块和SMB模