网站建设、公众号开发、微网站、微商城、小程序就找牛创网络 !

7*24小时服务专线: 152-150-65-006 023-68263070 扫描二维码加我微信 在线QQ

web安全团结互助,让我们共同进步!

当前位置:主页 > 技术资讯 > 网络安全 > web安全 >

我们的优势: 10年相关行业经验,专业设计师量身定制 设计师一对一服务模式,上百家客户案例! 企业保证,正规流程,正规合作 7*24小时在线服务,售后无忧

如何使用ADSI接口和反射型DLL枚举活动目录

文章来源:牛创网络 发布时间:2019-12-08 22:20:57 围观次数:
分享到:

摘要:您正在使用TIBER-EU,CBEST和其他红队安全评估框架,并最终成功地渗透到目标网络,并使用有效负载和C2通道成功绕过了目标网络的安全保护措施。我们的Active Directory枚举工具不会触发安全警报

C/C++


  如果使用传统的PowerShell / C#,则可能需要将编写的脚本放置在目标设备的磁盘上,安全产品可能会检测到该脚本。 在这里,我们可以选择使用Assembly.load等方法将工具直接加载到内存中,而C / C可以帮助我们实现类似的功能。 在这里,我们可以使用反射方法将已编译的C / C恶意程序注入到目标设备的内存中。 以下是一些较流行的方法:


  1. DonutPE装载机(参考)


  2.反射式DLL注入(原始版本)(改进版本)


  3,Shellcode反射DLL注入

  Active Directory服务接口(ADSI)


  好的,让我们回到主题,即如何实现Active Directory枚举。 我们希望枚举AD信息时,不会触发AMSI或不会留下明显的事件日志(这可以通过伪造事件日志的内容来实现)。 要与Active Directory交互并枚举其对象属性,我们需要到Active Directory服务接口(ADSI)。


  Active Directory接口(ADSI)简介


  Active Directory服务接口ADSI是Microsoft引入的一项新技术。 它统一了许多底层服务的编程接口,程序员可以使用一致的对象技术来访问这些底层服务。  ADSI提取这些服务的公共部分,并同时隔离不同部分。 程序员可以使用统一的界面来访问基础服务的公共部分,并将它们扩展到基础服务的私有部分。  ADSI提供了一组COM接口,可用于访问来自不同网络提供商的目录服务功能。 独立的软件供应商和开发人员可以使用ADSI对产品和应用程序进行目录启用。


  很好,所以我们的重点是如何通过C / C构建您自己的Active Directory枚举工具。在这里,我们实际上不需要自己重新创建轮子,因为Microsoft的GitHub库为我们提供了很好的参考。  sample-QueryUsers。 我们可以使用此示例来开发自己的客户。

QueryUsers

  QueryUsers:[GitHub门户]

  QueryUsers可以在Active Directory域中实现分区查询,并可以指定与过滤器匹配的用户对象。 该工具使用IDirectorySearch来实现搜索功能。

  借助QueryUsers,我们可以搜索特定用户或所有用户,并返回标识该用户的所有属性。  QueryUsers的工作方式如下:

  1. ADSI是基于COM构建的,因此我们需要使用CoInitialize()函数在程序中初始化COM;

  2.我们需要使用ADsOpenObject()绑定LDAProotDSE,这样我们就可以收集有关Active Directory的信息,并使用返回的IADsCOM对象获取defaultNamingContext信息;

  3.获得defaultNamingContext之后,我们可以再次使用ADsOpenObject()绑定Domain容器,它将返回IDirectorySearchCOM接口,该接口可用于查询和搜索Active Directory;

4.调用FindUsers()函数时,它将基于函数参数和以下字符串构造一个LDAP过滤器-“(&(objectClass=user)(objectCategory=person)%s)”。如果我们为改程序提供以下搜索过滤器参数“(sAMAccountName=Administrator)”,那么我们的LDAP过滤器实则为(&(objectClass=user)(objectCategory=person) (sAMAccountName=Administrator))”;


5、使用ADS_SEARCHPREF_INFO结构体作为搜索参数的首选项;


6、执行IDirectorySearch对象中的ExecuteSearch()方法,该方法将根据我们的 LDAP 过滤器返回所有结果;


7、最后,使用GetFirstRow()、GetNextColumnName()、GetColumn()和 GetNextRow()方法遍历结果,并输出特定的用户属性;


集成到常用的C2框架&PoC

Cobalt Strike具有用于代码/DLL注入的多种功能选项,并且有功能非常强大的嵌入脚本语言支持,因此开发人员可以根据自己的需要来扩展Cobalt Strike的功能。

为了验证该技术的可行性,我们开发了一种基于ADSI和反射型DLL的活动目录枚举工具,该工具可以直接在Cobalt Strike中使用。我们的PoC工具名叫Recon-AD,该工具目前由其中反射型DLL以及对应的AggressorScript脚本构成。

其主要功能如下:

1、Recon-AD-Domain: 查询域信息(包括域名、GUID、站点名称、密码策略、域控列表等);

2、Recon-AD-Users: 查询用户对象和相应的属性;

3、Recon-AD-Groups: 查询组对象和相应的属性;

4、Recon-AD-Computers: 查询计算机对象和相应的属性;

5、Recon-AD-SPNs: 查询配置了服务主体名称(SPN)的用户对象并显示有用的属性;

6、Recon-AD-AllLocalGroups: 在计算机是上查询所有本地组和组成员;

7、Recon-AD-LocalGroups: 在计算机上查询特定的本地组和组成员(默认 Administrators 组);

工具运行截图

用Recon-AD-Domain显示本地机器的域信息:

blob.png

使用Recon-AD-Groups Domain Admins命令例举域管理员组的属性信息:

blob.png

使用Recon-AD-User username命令为指定用户的输出属性信息:

blob.png


本文由 牛创网络 整理发布,转载请保留出处,内容部分来自于互联网,如有侵权请联系我们删除。

相关热词搜索:使用ADSI接口 使用反射型DLL 枚举活动目录

上一篇:利用Regini操作注册表权限介绍
下一篇:网络时代操作系统安全在计算机信息系统整体安全性中的重要作用

热门资讯

鼠标向下滚动