攻击者可以通过多种方式获得 Active Directory 中的域管理员权限。这篇文章旨在描述一些当前使用的比较流行的。...域控制器不会跟踪用户是否真正连接到这些资源(或者即使用户有权访问)。域控制器在 Active Directory 中查找 SPN 并使用与 SPN 关联的服务帐户加密票证,以便服务验证用户访问权限。...Pass-the-Ticket (PtT)涉及获取现有的 Kerberos 票证并使用它来模拟用户。...此技术清除当前用户的所有现有 Kerberos 密钥(散列),并将获取的散列注入内存以用于 Kerberos 票证请求。...重新验证具有 Active Directory 管理员权限的每个帐户,以验证是否确实需要(或只是需要)完整的 AD 管理员权限。从与人类相关的帐户开始,然后专注于服务帐户。
Windows域环境是基于微软的活动目录服务的(Microsoft Active Directory),它将物理位置分散,所属部门不同的用户在网络系统环境中进行分组,集中统一资源,有效对资源访问控制权限细粒化分配...Kerberos身份验证使用SPN将服务实例与服务登录帐户相关联。如果在整个域中的计算机上安装多个服务实例,则每个实例都必须具有自己的SPN。...如果客户端可能使用多个名称进行身份验证,则给定的服务实例可以具有多个SPN。例如,SPN总是包含运行服务实例的主机名称,所以服务实例可以为其主机的每个名称或别名注册一个SPN。...在Kerberos的协议中,当用户输入自己的账号密码登录Active Directory中时,域控制器会对账号密码进行身份验证,当身份验证通过后KDC会将服务授权的票据(TGT)颁发给用户作为用户访问资源时验证身份的凭证...LDAP获取SPN信息、高版本Windows的Powershell获取SPN信息、低版本Windows可以使用第三方VBS脚本获取SPN信息,利用常用的C2 Empire自带的模块进行获取SPN信息。
它由服务类,主机名和端口组成。在使用Kerberos身份验证的网络中,必须在内置计算机帐户(如NetworkService或LocalSystem)或用户帐户下为服务器注册SPN。...获取系统SAM文件等 使用VSS卷影副本(通过WMI或PowerShell的远程处理)远程提取NTDS.DIT 窗口有一个名为WMI的内置管理组件,支持远程执行(需要管理员权限).WMIC是在远程计算机上执行命令的...获取对Active Directory数据库文件的访问权限(ntds.dit) Active Directory数据库(ntds.dit)包含有关Active Directory域中所有对对象的所有信息...使用PowerShell Mimikatz 使用PowerShell的 域必需要能上网否则这方法不可用 powershell IEX (New-Object Net.WebClient).DownloadString...这意味着组策略在目标计算机上执行配置的设置。 SYSVOL是所有经过身份验证的用户具有读取权限的Active Directory中的域范围共享。
Sean Metcalf还提供了一些有关SPN的资源,其中包括有关Active Directory服务主体名称的系列资源,可在本文结尾处找到。...以下SPN列表中, PENTESTLAB_001服务与用户帐户相关联。 ?...GetUserSPNs Tim Medin开发了一个PowerShell脚本,它是kerberoast工具包的一部分,可以帮助我们查询活动目录,以发现仅与用户帐户相关联的服务。...这些脚本是PowerShell AD Recon存储库的一部分,可以在Active Directory中查询服务,例如Exchange,Microsoft SQL,Terminal等。...但是,无法使用基于token的身份验证,因此与Active Directory进行通信需要获取有效的域凭证。 .
这些模块依赖于Invoke-Mimikatz PowerShell脚本来执行与DCSync相关的Mimikatz命令。...也可以使用命令powershell_shell建立直接PowerShell会话,以便在脚本导入现有Meterpreter会话后提取文件。...ntdsutil 该NTDSUTIL是一个命令行工具,它是域控制器生态系统的一部分,其目的是为了使管理员能够访问和管理Windows Active Directory数据库。...将生成两个新文件夹:Active Directory和Registry。NTDS.DIT文件将保存在Active Directory中,SAM和SYSTEM文件将保存到Registry文件夹中。 ?...DiskShadow DiskShadow是Microsoft签名的二进制文件。其主要用于协助管理员执行与卷影复制服务(VSS)相关的操作。
Active Directory 是一个集中式数据库,用于描述公司的结构并包含有关不同对象(如用户、计算机、组和)的信息。以及它们在环境中的相互关系。...在活动目录中,可以创建用户帐户、组帐户、服务帐户、计算机帐户等形式的诱饵帐户。可以添加相关详细信息,使系统、服务、组等看起来更逼真。...并且在枚举 Active Directory 对象数据时,它还会枚举诱饵帐户,并可用于在发生侦察活动时发出警报。...AdFind 是一个免费的命令行查询工具,可用于执行 LDAP 枚举以从 Active Directory 收集信息。...image.png 检测(事件 4662) 任何与使用 Bloodhound 的 SharpHound 枚举 Active Directory 环境相关的活动以及由 ADFind 等工具为诱饵帐户执行的
Active Directory默认Kerberos策略设置为7天(10,080分钟)。...这降低攻击者通过横向扩展,获取域管理员的账户,获得访问域控制器的Active Directory的ntds.dit的权限。...监视TGT票证的生存期,以获取与默认域持续时间不同的值。...4.将服务票证导出到文件后,可以将该文件发送到运行带有Kerberoast的Kali Linux的攻击者计算机。破解与票证(文件)相关的服务帐户的密码。...如果可能,请使用组管理的服务帐户,这些帐户具有随机的复杂密码(> 100个字符),并由Active Directory自动管理。
Name ------------ ---- [ ] Active Directory Rights Management...Services ADRMS [ ] Active Directory 权限管理服务器 ADRMS-Server [ ] 联合身份验证支持... ADRMS-Identity [ ] Active Directory 联合身份验证服务 AD-Federation-Services...建议使用可用于服务器管理器的 Windows PowerShell cmdlet。 用法: ServerManagerCmd.exe 安装和删除角色、角色服务和功能。...也显示所有可用的角色、角色服务和功能列表,并显示在此计算机上安装了其中哪些内容。有关可以使用此工具指定的角色、角色服务和功能的详细信息,请参阅服务器管理器的“帮助”。
但在某些特殊情况下,可能会存在一个可供较低权限帐户访问的备份文件,该文件包含Active Directory(AD)数据库。...对于使用可逆加密存储密码的帐户,Active Directory用户和计算机(ADUC)中的帐户属性,会显示使用可逆加密存储密码的复选框。...以下是微软关于该设置的最佳实践提示: 即使它需要域管理员使用上面的方法,从Active Directory数据库中提取哈希值,也意味着DA(或被盗取的DA帐户)可以轻松地学习其他用户的密码。...Directory PowerShell模块中的cmdlet,默认情况下安装在Windows Server 2008 R2及更高版本上。...属性是与用户帐户的设置相关联的属性,长度为32位。
非常有用,如果您将本地管理员凭据传递给具有相同本地凭据的另一台计算机,则授予访问权限,就像您使用目标系统凭据登录一样。将管理员凭据转储到一个以获取所有管理员!...• 将密码报告给 Active Directory,并将其与计算机帐户的机密属性一起存储在 Active Directory 中。...• 向 Active Directory 报告密码的下一次到期时间,并将其与计算机帐户的属性一起存储在 Active Directory 中。 • 更改管理员帐户的密码。...• 可管理性,提供以下功能: • 配置密码参数,包括使用期限、复杂性和长度。 • 在每台机器上强制重置密码。 • 使用与 Active Directory 中的 ACL 集成的安全模型。...• 使用任何选择的Active Directory 管理工具;提供了自定义工具,例如 Windows PowerShell。 • 防止计算机帐户被删除。 • 以最小的占用空间轻松实施解决方案。
日志文件文件夹:用于存储活动目录数据库的变更记录,此记录文件可用来修复活动目录数据库。 SYSVOL文件夹:用于存储域共享文件(例如组策略相关的文件)。...日志文件文件夹:用于存储活动目录数据库的变更记录,此记录文件可用来修复活动目录数据库。 SYSVOL文件夹:用于存储域共享文件(例如组策略相关的文件)。 ...之后服务器会重启,重启后登录,使用之前本地administrator的账号密码登录,可能会提示你修改密码。 登录成功后,打开 服务器管理器——>工具——>Active Directory用户和计算机。...日志文件文件夹:用于存储活动目录数据库的变更记录,此记录文件可用来修复活动目录数据库。 SYSVOL文件夹:用于存储域共享文件(例如组策略相关的文件)。...证书注册策略Web服务:该组件使用户能够获取证书注册策略信息。
提取的密码信息如下: ? Empire PowerShell Empire 有两个模块可以通过 DCSync 获取域内哈希。这两个模块都需要以域管理员的权限执行。...该模块依赖于 Invoke-Mimikatz PowerShell 脚本来执行与 DCSync 相关的 Mimikatz 命令。...ntdsutil ntdsutil 是一个命令行工具,是域控制器生态系统的一部分,其目的是使管理员能够访问和管理 Windows Active Directory 数据库。...生成两个新文件夹:Active Directory 和 Registry。...如果已经生成了黄金票据,则可以使用 Kerberos 与域控制器进行身份验证。 vssadmin vssadmin 是一个 Windows 命令行实用程序,管理员能够使用它备份计算机、卷和文件。
使用Powershell的Active Directory Module便能完成委派: ? 使用Mimikatz获得当前计算机账户的Hash值以进行S4U攻击: ? ?...那么为什么域管理员在当前计算机的PSSession中无法使用Kerberos协议进行与域控制器进行认证呢?...本例中我们便是使用Kerberos身份连接主机进行Powershell远程管理,而又希望以当前在Powershell上的身份与域控进行认证连接以便获得实质上的域管理员权限。...Powershell Remoting通过委派用户凭证的方式使用户在远程计算机上执行任务,本质上却是远程计算机模拟用户进行操作,如果该计算机并没有被配置委派,登录到Powershell会话中的用户无则法再次使用自己凭证请求访问其他远程计算机...使用Powershell的Active Directory模块可以直接列出配置了基于资源的约束委派的资源对象: Get-ADComputer –Filter {msDS-AllowedToActOnBehalfOfOtherIdentity
如果您的大型网络具有数百个DHCP作用域,那么使用PowerShell将节省大量时间。 这里有一些命令可以帮助您入门。.../ Active Directory的PowerShell命令的大量列表 子网划分和网络分段的好处 我不会深入探讨子网划分,因为有很多服务可以做到这一点。...网络分段的好处 安全 通过将设备保持在单独的网络上,您可以更好地控制网络。您的打印机需要访问互联网吗?可能不会。财务部门的计算机是否需要直接与HR中的计算机对话,绝对不是。...提示#1增加固定设备的租赁时间 对于小型网络,您可以将租约时间保留为默认设置8小时。 对于大型网络,请考虑将固定设备(工作站)的DHCP作用域更改为16天。这样可以减少与DHCP相关的网络流量。...如果设备仍然处于活动状态,它将续订,但是如果设备断开连接,它将释放IP地址,这将有助于您的来宾有足够的可用IP。 移动设备也可能是这种情况,尽管越来越多的用户使用笔记本电脑,但这种设备可能会很棘手。
文章前言 在内网渗透测试中我们经常会在几个小时内获得域管理权限,而造成这种情况的原因是系统加固不足和使用不安全的Active Directory默认值,在这种情况下公开的利用工具有助于发现和利用这些问题...,可以在AD环境内部或外部运行,第二个工具是ntlmrelayx工具的扩展,此扩展允许攻击者将身份(用户帐户和计算机帐户)转发到Active Directory,并修改域对象的ACL Invoke-ACLPwn...Trusted Subsystem安全组的组成员资格的权限,成为该组的成员将授予您在Active Directory中修改域对象的ACL的权限 我们现在有31个环节: 26个安全组的间接成员 修改Organization...(几乎可以控制域中的所有组) 如果使用-upgrade-user标志指定了现有用户,则在可以执行ACL攻击的情况下,该用户将被授予复制权限,如果使用组攻击则该用户将被添加到高权限组,如果没有指定现有用户...,可以使用PowerShell查询Windows事件日志,因此这里有一个从ID为5136的安全事件日志中获取所有事件的一行程序 [code lang=powershell] Get-WinEvent -
当 Windows 设备已混合加入 Azure 租户和本地 Active Directory 域时,这种滥用成为可能。...正如计算机可以“加入”到本地 Active Directory 域(以及这样做的所有后果),计算机也可以“加入”到 Azure Active Directory 域。...Active Directory 域和 Azure AD 租户。...我们可以使用 PowerShell 的管道和过滤器轻松列出具有此连接类型的所有设备,并显示我们关心的每个设备的最相关信息: image.png 目前似乎没有办法确定这些设备加入到哪些本地域,至少从...此过程的工作方式与组策略类似,因为在每个设备上运行的 Intune 代理会定期使用 Intune/Endpoint Manager 签入(默认情况下是每小时一次),以查看是否有 PowerShell 脚本可以运行
2、查询此域内所有计算机 执行如下命令,可以通过查询得到的主机名来对主机角色进行初步判断,如下图所示。...3、psloggedon.exe 在Windows中,可以使用命令“net session”查看谁在本地计算机上使用了资源,但是没有命令用来查看谁在使用远程计算机的资源、谁登录了本地或远程计算机。...4、pveFindADUser pveFindADUser.exe 可用于查找 Active Directory 用户登录的位置,枚举域用户,以及查找在 特定计算机上登录的用户,包括本地用户、通过RDP...PS:PowerShell在内网渗透中还是很有用的,由于相关的内容过多就不再展开了~ 九、总结 由于文章篇幅原因,这里不再多赘述其他内容了,至于内网渗透中信息收集的方法自然不仅仅局限于上面这些,有兴趣的可以做深入的了解与分析...,同时GitHub上也有很多关于内网信息收集的方法与辅助脚本~ 相关参考 《内网安全攻防》 《Metasploite渗透测试指南》 《PowerShell实战指南第三版》
回到本地,然后我运行 Active Directory 模块 PowerShell 命令以获取域管理员组的成员身份,我们可以看到该帐户已添加。...一旦攻击者可以在 Azure VM 上将 PowerShell 作为系统运行,他们就可以从云托管的域控制器中提取任何内容,包括 krbtgt 密码哈希,这意味着完全破坏本地 Active Directory...使用此帐户,攻击者转向 Azure 并在托管公司本地 Active Directory 域控制器的 Azure VM 上运行 PowerShell。...PowerShell 命令可以更新 Active Directory 中的域管理员组或事件转储 krbtgt 密码哈希,这使攻击者能够离线创建 Kerberos Golden Tickets,然后针对本地...但是,这仅表明与“公司信息”相关的某些更改 - 除了“设置公司信息”之外没有记录任何详细信息,并且如果“修改的属性”部分为空,则说明“没有修改的属性”。
如下相关服务已安装完成。 四 安装 Active Directory 域服务 服务器管理器 -> 添加角色和功能,选择Active Directory 域服务。 保持默认。...选择基于角色或基于功能的安装。 选择从服务器池中选择服务器,选择本主机。 勾选Active Directory域服务器,包括管理工具。 确认信息,下一步。 保持默认。 确认信息。...首先检查域控制器是否已经将其主机名与 IP 地址注册到 DNS 服务器内,本域控制器也扮演DNS服务器,则进入DNS中查看,此处应该会有一个名称为 imxhy.com 的区域,主机(A)记录表示域控制器...dsserver.imxhy.com 已经正确地将其主机名与 IP 地址注册到 DNS 服务器内。...五 域用户创建及加入 5.1 域用户创建 控制面板 -> 管理工具 -> Active Directory 用户和计算机,或者通过服务器管理器进入。 打开AD用户和计算机,新建用户。
与PowerShell的基本关 系。...比如在活动目录当中,我们可以通过Active Directory Module去获取到相应的活动 目录当中的用户、计算机、安全组等信息,当然我们也可以去创建用户、计算机、安全组。...在一些情况中,如果powershell本身提供的命令能 够去获取相应的信息,那也可以使用powershell的方式来完成相应的操作,但是如果powershell对 某些操作没有相关的命令支持,这时便可以通过...powershell调用WMI的方法去获取相关的信息。...Module : [ActiveDirectory] Gets one or more Active Directory computers.
领取专属 10元无门槛券
手把手带您无忧上云