首页 科技正文

usdt无需实名(www.payusdt.vip):若何行使ADExplorer开展侦查事情

约稿员 科技 2021-05-05 09:48:24 210 0

USDT场外交易平台

U交所(www.payusdt.vip)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U交所开放usdt otc API接口、支付回调等接口。

在平安攻防方面,ADExplorer是一款异常有用的工具,同时,它也是我的必备工具之一。但在这篇文章中,我们将更多地关注它的进攻性用途。这款工具的下载地址为https://docs.microsoft.com/en-us/sysinternals/downloads/adexplorer。

在事情历程中,经常遇到的一个典型情形是:已经拿下了一台服务器或事情站,而且不仅能够读取内陆的NTLM哈希值,同时,还能读取用于对流动目录域举行验证的盘算机账户NTLM哈希值。在这种情形下,我通常的做法是通过proxychain毗邻用户事情站上的beacon,然后使用已知的exploit来获得治理权限。

那么,我们若何通过SOCKS使用流动目录盘算机账户来查看流动目录呢?现实上,能够完成这个义务的工具有许多,如Impacket或LDAPPER,但今天我们要先容的是ADExplorer。

下面,我们将为读者先容若何通过Cobalt Strike的C2服务器上的SOCKS署理,在内陆Windows机械上运行ADExplorer。

首先,我们需要让Cobalt Strike在beacon上确立一个SOCKS署理。为此,只需要通过单击右键,然后选择“PIVOTING > SOCKS Server”即可。

图1  启动SOCKS服务器

然后,选择用于SOCKS监听器的特定端口并点击“Launch”按钮。在本例中,该端口被设置为TCP 4444。

 

图2  为SOCKS指定端口

这样的话,C2服务器将会打开4444端口,并允许署理流量通过该端口,从而进入beacon所在的网络。不外,我建议人人通过iptables防火墙的相关设置,只允许通过SSH接见C2服务器(关于这个主题,这里就不睁开了,谢谢兴趣的读者可以自己搜索响应的设置方式)。同时,最好阻止从互联网上直接接见50050端口(Cobalt Strike Team服务器端口)或4444端口。相反,应该使用SSH,并转发这些端口。若要在C2服务器的SSH上设置转发到4444的端口,只需运行下面的SSH下令即可:

上面的下令的作用是在Windows主机上确立一个内陆端口,并在4444端口上举行监听。然后,该端口上的流量将通过SSH转发到C2服务器上的4444端口。

在Windows环境中,我喜欢使用Proxifier(https://www.proxifier.com/)来处置每个应用程序的署理设置。首先,我们需要打开Proxifier中的署理服务器菜单。

 

图3  Proxifier服务器菜单

然后,点击“add”按钮,并设置相关的署理设置,详细如下图所示。需要注重的是,Cobalt Strike的署理是SOCKS4。

 

图4  SOCKS署理设置

一旦这些都处置好了,请打开Proxification Rules,确保Localhost和Default都被设置为Direct。之后,点击“add”按钮,就会添加一个新的署理规则。

 

图5  添加署理规则

接下来,添加要通过代剃头送的应用程序的细节信息。就这里来说,就是二进制程序adexplorer.exe。

 

图6  设置ADExplorer的署理规则

然后,点击确定按钮就可以了。

接下来,我将启动ADExplorer.exe,但由于我使用的是机械账户的哈希值,而不是用户名和密码,以是,我需要注入哈希值。然而,若是知道用户名和密码,那么只需启动ADExplorer,并在响应的字段填写要毗邻的服务器IP地址、用户和密码即可。

 

图7  填写毗邻信息

由于我设计注入哈希值,以是,这里将借助于Mimikatz工具。为此,需要先启动Mimikatz(特权模式),并通过运行priorlege::debug来获取调试权限。

若是收到错误信息,请仔细检查是否以特权模式启动的cmd。

 

图8  启用调试权限

一旦获得了调试权限,就可以把机械账户的哈希值注入到一个新建的、经由修改的ADExplorer.exe历程中。现在,请在Mimikatz中执行下面的下令:

 

就这里来说,我是在一台叫做PC1的机械上执行上述下令的,并进入Oddvar.moe域,详细如下所示:

 

图9  注入哈希值

现在,ADExplorer应该启动了,下面我们需要将域控制器的IP地址填入“Connect to”字段。由于我已经将哈希值注入到历程中,ADExplorer将使用该历程中现有的身份验证信息,以是,我们这里就不必填写用户或密码了。

 

图10  指定要毗邻的服务器

现在,请点击“OK”按钮。若是一切顺遂的话,就能够通过机械账户的哈希值,使用ADExplorer通过SOCKS来浏览流动目录了。同时,我们也可以通过查看Proxifier来检查通讯是否正常。若是想使用默认的389以外的端口,则可以通过在末尾添加冒号来指定端口。若是能使用636作为端口的话,最好使用LDAPS。

 

图11  指定通过LDAPS毗邻的服务器

 

图12  ADExplorer已经毗邻到流动目录

上面先容了ADExplorer,下面继续先容若何在流动目录中开展侦查流动。

侦探技巧1:获取快照

通过SOCKS署理查看流动目录有时会很慢,以是,我经常接纳快照的方式。现实上,这种方式就是将能从流动目录中读到的所有内容都复制到磁盘上,并通过署理存储到ADExplorer所在的内陆机械上,由于要传输大量数据,以是要事先思量带宽是否能够知足要求。为此,我们可以选中毗邻(本例中为192.168.86.22[DC1.oddvar.moe]),然后点击“File > Create Snapshot”即可。

 

图13  确立快照

 

,

USDT场外交易

U交所(www.payusdt.vip),全球頂尖的USDT場外擔保交易平臺。

,

图14  保留快照的路径

然后,填写保留转储数据的路径,然后按“OK”按钮即可。固然,若是流动目录数据库对照大的话,这可能需要一些时间。对于一个拥有约30,000个用户的公司来说,转储的数据通常会跨越800MB。一旦转储完成,我们就可以随时通过ADExplorer以离线方式打开转储数据,而不需要通过署理毗邻到网络环境了。在启动ADExplorer时,只需选择“Enter the path of a previous snapshot to load”即可,而无需填写毗邻细节。

 

图15  加载快照

侦查技巧2:站点与服务

在互助的早期阶段,我们通常不知道该组织的所有子网或地理位置。不外,许多情形下会把这些信息存储到流动目录中。这样做是为了使流动目录能够确立最佳的复制拓扑结构,并将认证请求指导到与用户或盘算机认证相同站点的域控制器上。为了找到这些站点,我浏览了设置分区并查看了站点容器,详细见下图:

 

图16  流动目录的站点和服务

若是选中一个子网,就可以通过查看siteObject属性来领会它所属地理站点的详细信息。

 

图17  流动目录的站点详情

就这里来说,10.100.10.0/24子网被链接到名为Norway的站点。

侦查技巧3:域设置

通过选中某个域,就能看到关于该域的有趣细节,如密码战略的状态,甚至是ms-DS-MachineAccountQuota。若是客户使用了细粒度的密码战略,那么我们就可以笼罩这种密码战略,以是,若是设计凭证这个战略举行密码喷射的话,则需要事先确定这一点。

默认情形下,流动目录中的所有认证账户都可以向域中添加盘算机,而属性ms-DS-MachineAccountQuota则决议了一个给定账户可以添加若干台盘算机(默以为10台)。固然,这个数值也可以在其他地方举行限制,如组战略,但领会这个值是若干是异常有价值的。若是它是0,就意味着通俗用户不能向域中添加盘算机。

 

图18  域设置

侦查技巧4:信托关系

若是您想知道是否存在某些信托关系,可以通过寻找设置为trustedDomain的objectClass属性来搜索它们,详细如下所示:

 

图19  搜索信托关系

这时会列出找到的信托关系,若是我双击GUI下部的搜索效果,就会直接跳到ADExplorer中,这时就可以查找相关信托关系的分外细节了,如信托类型、信托偏向等等。

侦查技巧5:其他有用的搜索项目

下面是我在测试环境中经常使用的一些搜索项目。

旧版本的操作系统:

 

图20  搜索Windows Server 2003

内陆治理员密码解决方案(LAPS)的密码:

 

图21  搜索LAPS密码

当环境实行了LAPS后,这些密码有可能以明文形式泛起,也就是说,在这个字段中看到的就是现实的密码。LAPS密码通常被存储在ms-msc-admpwd属性中。

其他可能含有密码的属性:

· userPassword

· unicodePwd

· unixUserPassword

· msSFU30Password

· os400Password

若是在这些属性中发现了密码,那么通常被存储为ASCII码的形式。为此,我们可以使用一个转换器(例如,https://onlinestringtools.com/convert-ascii-to-string)来获得明文密码——不外,在将密码放入不受信托的在线工具时要格外小心。

搜索被设为1的admincount字段:

 

图22  搜索admincount

若是该账户是任何受珍爱组的成员的(例如,主要的流动目录组),那么,该属性将被设置为1。

搜索Description字段:

 

图23  在Description中搜索密码

 

图24  在Description中搜索pwd

有时刻,我会直接搜索“description not empty”,然后手动检查搜索效果。在使用“包罗”搜索时,有时会使用脱机ADExplorer快照遇到一个错误,该错误会使ADExplorer溃逃,但在联机使用ADExplorer时则不会遇到这种情形,以是问题不是太大。

在这篇文章之前,许多平安职员就已经对ADExplorer举行了许多先容。Black Hills的Sally Vandeven就写过一篇很好的文章,向我们展示了若何使用ADExplorer编辑工具,以及其他一些器械,详情请见:https://www.blackhillsinfosec.com/domain-goodness-learned-love-ad-explorer/。

另一篇很棒的文章的地址为https://github.com/stufus/ADEGrab,它是由MWR Infosecurity的Stuart Morgan撰写的。若是你想从ADExplorer中抓取搜索效果,这篇文章是异常有用的,由于没有原生的方式可以做到这一点。

本文到此就竣事了,我希望ADExplorer能够在您的事情中祝您一臂之力。固然,另有许多其他的工具能够以更自动化的方式来完成事情,但我有时更喜欢使用GUI来查看事物的结构,甚至回发现我通常会忽略的器械。我希望未来能够将ADExplorer的效果导出到BloodHound的数据中,这将是异常了不起的!或者,能够将ADExplorer的效果编辑到BloodHound中,甚至能为所欲为地编辑离线快照。

祝阅读愉快,并祝事情顺遂!

本文翻译自:https://www.trustedsec.com/blog/adexplorer-on-engagements/
版权声明

本文仅代表作者观点,
不代表本站热搜网的立场。
本文系作者授权发表,未经许可,不得转载。

发表评论

评论列表(0人评论 , 210人围观)
☹还没有评论,来说两句吧...

站点信息

  • 文章总数:3779
  • 页面总数:0
  • 分类总数:16
  • 标签总数:764
  • 评论总数:1494
  • 浏览总数:1233032