前言
本篇文章只是简单介绍下常用的几款工具,具体文档后台回复域工具获取语雀链接自行保存到本地
mimikatz
简介
mimikatz是Benjamin使用C语言编写的一款非常强大的安全工具,它可以从机器内存中提取明文密码,密码Hash,PIN码和Kerberos票据等。它的功能非常强大,得到安全研究员的广泛使用
standard模块
其他模块
crypto:加密模块sekurlsa:SekurLSA模块,是一些用来枚举凭据的命令kerberos:kerberos包模块ngc:下一代密码学模块privilege:提取模块process:进程模块service:服务模块lsadump:LsaDump模块ts:终端服务器模块event:事件模块misc:杂项模块token:令牌操作模块vault:Windows凭据模块minesweeper:MineSweeper模块dpapi:DPAPI模块(通过API或RAW访问,数据保护应用程序编程接口)busylight:BusyLight模块sysenv:系统环境值模块sid:安全标识符模块iis:IIS XML配置模块rpc:RPC控制sr98:SR98设备和T5577目标模块rdm:RDM(830AL)设备的射频模块acr:ACR模块
Impacket
简介
功能
常用脚本如下
secretsdump.py 获取域内所有用户的Hashticketer.py 生成黄金票据getTGT.py 请求TGTgetST.py 请求STlookupsid.py 获取域SIDsamrdump.py 枚举域内用户addcomputer.py 增加机器用户GetNPUsers.py AS-REP Roasting攻击GetUserSpns.py kerberoasting攻击ticketConverter.py 票据转换addspn.py 增加,删除和查询SPN
Rubeus
简介
功能示例
明文密码申请TGT,以Base64格式打印出来并导入内存中
明文密码申请TGT,将票据保存为ticket.kirbi文件,并导入内存中
导入票据前
导入票据后
密码Hash申请TGT,以base64格式打印出来并导入内存中
使用mimikatz获取到administrator的Hash
清除内存票据
以RC4Hash进行导入票据,并打印base64格式,并导入内存中
Kekeo
简介
Kekeo是MimiKatz的作者Benjamin用C语言写的针对Kerberos协议进行攻击的工具。它可以发起Kerberos请求,并将请求的票据导入内存中,从而模拟针对Kerberos协议各个阶段发起攻击,以方便安全研究员进行研究和学习
默认模块
standard模块是kekeo默认的模块,提供一些简单的功能
输入任意一个不存在的命令,会提示standard未提供当前模块接着会列举出来standard模块中提供的一些命令
其他模块
除了standard模块外,kekeo提供的其他模块才是重点,输入任意一个不存在的模块命令aa::bb,然后提示aa模块不存在,接着列出kekeo提供的一些模块
tgt:TGT模块tgs:TGS模块exploit:攻击模块misc:杂项模块kerberos:Kerberos包模块smb:小型SMB模块ntlm:NTLM模块tsssp:TSSSP模块
PingCastle
简介
主要功能
-healthcheck-对域的风险进行评分-conso -将多个报表聚合为单个报表-carto -构建所有互联域的映射-scanner -对工作站进行特定的安全检查-export -导出用户或计算机-advanced -打开高级菜单-Exit
healthcheck模块
通过访问页面可以很直观的看到域内安全情况
conso模块
Ldapsearch
简介
参数
-H ldapuri,格式为 ldap:// 机器名或者 IP: 端口号,不能与 - h 和 - p 同时使用-h LDAP 服务器 IP 或者可解析的 hostname,与 - p 可结合使用,不能与 - H 同时使用-p LDAP 服务器端口号,与 - h 可结合使用,不能与 - H 同时使用-x 使用简单认证方式-D 所绑定的服务器的 DN-w 绑定 DN 的密码,与 - W 二者选一-W 不输入密码,会交互式的提示用户输入密码,与 - w 二者选一-f 指定输入条件,在 RFC 4515 中有更详细的说明-c 出错后忽略当前错误继续执行,缺省情况下遇到错误即终止-n 模拟操作但并不实际执行,用于验证,常与 - v 一同使用进行问题定位-v 显示详细信息-d 显示 debug 信息,可设定级别-s 指定搜索范围,可选值:base|one|sub|children
使用-H参数-h参数指定域控,-p参数指定端口,-D参数指定域用户,-w参数-W参数指定密码。指定用户名密码并查询根域
LDP
简介
Admod
简介
admod是一个使用C++语言编译的活动目录工具,允许有权限的用户轻松地修改各种活动目录信息。Admod工具不需要安装,因为他是基于命令行的工具。它提供了许多选项,可以细化搜索并返回相关细节
参数
admod.exe /? 查看admod的所有参数-h:指定主机与端口-p:指定端口,可以使用-P单独指定端口-u:指定用户名-up:指定用户密码-b:指定要修改的根节点basedn-rm:删除指定对象-del:-rm的别名-add:添加对象-undel x:取消删除指定的对象。需使用未知父对象,除非x中提供了一个父节点。-rename x:将对象重命名为x的RDN-mov x:将对象移动到由x指定的父对象
AdFind
简介
帮助
工具可在域内使用不需要域内用户名密码,如果在域外使用需要指定域和有效的域普通用户
参数
下面这几个是连接选项,也就是在连接的时候指定的参数。如果是在域内机器上执行 adfind 的话,则不需要连接参数。如果是域外机器执行 adfind 的话,则需要指定连接参数。如下:-h:指定主机与端口(ip:port)-p:也可以单独使用 - p 参数指定端口-u:指定用户-up:指定密码下面这几个是过滤参数,也就是进行查询的时候需要过滤的一些条件。如下:-b:指定要查询的根节点 basedn-bit:指定位查询-f:LDAP 过滤条件,指定 ldap 语法下面这几个是显示参数,也就是查询出来之后如何显示的一些参数。如下:-appver:显示 adfind 版本信息-c:只统计数量-csv:导出为 csv 格式-dn:只显示 dn,不返回详细信息-s:搜索的范围, 有 one (当前层级)/sub (一层一层递归),默认是 sub-sdna:非域管查询 sd 信息-recmute:如果所有属性都为空,则禁止显示 DN。这主要适用于 - sddl 过滤器选项。-t:查询超时时间,默认 120 秒下面这几个是帮助参数,也就是使用过程的一些帮助。如下:-help:基础的帮助-?:基础的帮助-??:高级帮助-????:快捷方式帮助-sc?:快捷方式帮助-meta?:元数据帮助-regex?:固定表达式帮助
BloodHound
环境搭建
下载地址:https://neo4j.com/deployment-center/,这个工具需要最新版本的Java
启动数据库
访问以下链接进行登录默认用户密码都是:neo4j
下载这个工具,我这里是下载好的
工具使用
使用SharpHound.exe进行信息收集然后将收集到信息导入工具中
这里有很多版本,最好使用低版本不会报错,高版本会报错
使用1.1进行信息收集,这个工具需要有.NET环境根据版本进行安装,下载对应版本.NET
安装
安装完成后使用以下命令进行信息收集
收集完成后会在该目录下生成一个zip包
将该包进行直接拖入工具中,会自动解析
原文始发于微信公众号(起凡安全):几款常用域渗透工具分享
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论