AD域攻防权威指南:三十六.域分析之Group3r

一、Group3r简介Group3r是C#编写的组策略检测工具，用于Pentester和红队成员快速枚举AD组策略中的相关设置，并在其中识别可利用的错误配置的工具，它通过LDAP连接域控解析域SYSVOL 二、输出方式Group3r实现了两种输出方式，命令参数及含义如表1-11所示。 表1-11查看Group3r输出方式|\-s|通过标准输出结果||---------------|----------------||\-fgroup3r.log|通过文件输出结果|三、使用方式Grou3r 使用十分简单，只需要执行如下命令即可对域内错误配置进行检测，执行命令及结果如图1-1所示

图1-1检测域内错误配置四、帮助信息我们可以通过Group3r.exe-h显示帮助信息 图1-3检测错误配置信息再如下图1-4所示，group3r发现了一个启动项，他的参数中硬编码了一个密码Password1，并且给出了脚本位置等相关信息，我们利用该内容即可进行密码收集

AD域攻防权威指南:三十一.域分析之CornerShot

2）基本使用命令：参数说明：|参数|说明||---|---||user|域内用户名||password|域用户密码||domain|域名||carrier|双网卡计算机IP（中继主机）||target| /192.168.72.139||Win7（域内）|GOD.ORG|192.168.52.133/192.168.72.132||Win2008（域内）|GOD.ORG|192.168.72.138|5.2 通过CornerShot，我们可以探测Win10和Win7对Win2008的网络访问权限，如图1-3所示。! IMG330

图1-3测试环境网络拓扑2）执行探测命令假设我们已经拥有god.org域内某个用户的账号和密码，在Kali上执行以下命令。 IMG331图1-4CornerShot默认端口探测结果3）分析探测结果从探测结果可知：Win10计算机可以访问Win2008的135端口，Win7计算机可以访问Win2008

AD域攻防权威指南:三十二.域分析之Adfind

Adfind的主要特点包括：轻量便携：单文件可执行程序，无需安装，可直接在目标主机上运行功能全面：支持查询用户、组、计算机、OU、GPO、信任关系、ACL等几乎所有AD对象灵活过滤：支持LDAP过滤语法 ，可精确筛选所需信息输出可控：支持自定义输出属性，并可导出为CSV等格式便于后续分析在域渗透测试中，Adfind常用于信息收集阶段，帮助测试人员快速了解域内结构、识别高价值目标（如域管理员、服务账户）、 例如，查询DN为CN=Computers,dc=klion,dc=local下的所有计算机对象，执行如下命令：执行结果如图1-3所示。 <palign="center">图1-3根据查询条件进行DN查询

2.3Filter（过滤条件）通过-f参数可以指定查询的过滤条件，支持LDAP查询语法。 ="center">图1-8查询域控版本

3.2查询域DNS信息执行如下命令可以查询域内所有计算机对象的DNS主机名，结果如图1-9所示：<palign="center">图1-9查询域DNS信息

AD域攻防权威指南:三十四.域分析之SharpADWS

侦查和利用工具，在安装ActiveDirectoryDomainServices(ADDS)后，ActiveDirectoryWebServices(ADWS)将自动开启，因此SharpADWS在所有域环境中都可以使用 对象，并筛选出受托者为DomainAdmins的DACL，执行命令及结果如图1-3所示：

图1-3枚举域控对象2）枚举所有的User对象，并筛选出权限为GenericAll SID写入DC01\$的msDS-AllowedToActOnBehalfOfOtherIdentity属性中，执行命令及结果如图1-13所示：图1-13设置资源约束委派3） msDS-KeyCredentialLink属性添加一个Key，以执行ShadowCredentials攻击，执行命令及结果如图1-19所示：图1-19添加目标账户属性值3） ，执行命令及结果如图1-21所示：图1-21枚举域内所有委派关系

AD域攻防权威指南:三十五.域分析之SOAPHound

--dnsdump--user<用户名>--password<密码>--domain<域名>--dc<域控IP>-odns命令及结果如图1-3所示。

图1-3域外主机收集dns信息1.3收集方法SOAPHound提供了如下几种收集方法，如表2-18所示。 证书服务（ADCS）数据||\--dnsdump|转储AD集成DNS数据|1.3.1构建缓存SOAPHound可以生成一个缓存文件，其中包含有关所有域对象的基本信息，例如安全标识符（SID）、识别名称（ 此时SOAPHound根据设置阈值执行了如下LDAP查询从而检索域对象，域信任关系等信息：1.3.3转储AD证书服务（ADCS）数据生成缓存文件后，可以使用-certdump收集方法从可以导入BloodHound 图1-9转出AD集成DNS数据此命令将生成所有AD集成DNS数据的转储，并输出保存到c:\temp\DNS\dns.txt。

AD域攻防权威指南:三十三.域分析之AdExplorer

一、域分析之AdExplorerAdExplorer（ActiveDirectory资源管理器）是高级ActiveDirectory(AD)查看器和编辑器。 如果有一个AD数据库的两个快照，则可以使用AD资源管理器的比较功能来查看它们之间更改了哪些对象、属性和安全权限。 下载地址：https://download.sysinternals.com/files/AdExplorer.zip二、连接AD下载AdExplorer后，会弹出连接对话框，我们对应输入域控的IP，以及域用户的账号密码后即可进行使用 ，如图1-1及图1-2所示

图1-1连接域控图1-2成功连接到域控三、查询信息单击左上角放大镜图标即可进行信息查询，如图1-3所示图1-3进行信息查询例如我们想要查询域内所有计算机即可使用如下查询条件objectCategory=computer，查询结果如图1-4所示图1-4使用查询条件进行查询

AD域攻防权威指南:二十六.域分析之BloodHound（一）

一、简介BloodHound是一款开源的AD域分析工具，它以图与线的形式，将域内用户、计算机、组、会话、ACL以及域内所有相关用户、组、计算机、登录信息、访问控制策略之间的关系只管展现，帮助红队便捷地分析域内情况 ，快速在域内提升自己的权限。 蓝队成员可使用BloodHound对己方网络系统进行更好的安全检测以保证域的安全性。BloodHound通过在域内导出相关信息，再将数据采集后，导入本地安装好的Neo4j数据库中，使域内信息可视化。 下载并解压完成后，打开cmd窗口进入解压后的bin目录，在cmd下执行命令neo4j.batconsole启动Neo4j服务，如图1-3所示

图1-3启动Neo4j数据库 SharpHound默认收集ActiveDirectory安全组成员资格、域信任、AD对象的可滥用权限、OU树结构、组策略链接、最相关的AD对象属性、域加入的Windows系统的本地组和用户会话等信息。

AD域攻防权威指南:三十.域分析之LDAP信息收集及分析

1概述在ActiveDirectory域环境中，任何经过身份验证的用户或计算机都可以通过域控制器上的LDAP服务获取大量域信息。攻击者常在AD域渗透的侦察阶段利用LDAP进行信息收集。 如图1-3所示，数据库中包含25,138个用户、4,367台计算机、2,298个组、464,353条ACL、525,628个关系，以及从不同路径到达域管理员的攻击路径。! IMG325<palign="center">图1-3导入BloodHound后数据库

3使用Ldapdomaindump自动化收集Ldapdomaindump是一款通过LDAP自动收集并解析域信息的工具 该工具可收集以下信息：域用户、组、计算机账户域策略（密码要求及锁定策略）域信任关系按组分类的域用户按操作系统排序的域计算机3.1执行信息收集在域外环境下，使用已知的普通域用户凭据即可连接域控制器。 如图1-5所示，展示了按不同操作系统对域计算机进行排序的结果。!IMG327<palign="center">图1-5按不同操作系统对域计算机进行排序情况