从零开始的域环境渗透：Active Directory侦查技术实战指南

还记得电影里那些黑客敲几下键盘就能掌握整个公司网络的场景吗？虽然现实没那么夸张，但今天我要带你体验一把"侦探式"网络探索——如何在Active Directory（活动目录）环境中进行侦查。无论你是网络安全新手、防守方的蓝队队员，还是对网络安全充满好奇，这趟旅程都会让你大开眼界！

什么是Active Directory侦查？

想象一下Active Directory就像是一座巨大的公司大厦，里面存放着各种资源、用户信息和权限设置。侦查就像是在这座大厦里探索，找出所有的房间、走廊、紧急出口，以及谁能进入哪些区域。

我最近在TryHackMe平台上完成了"Basic AD Enumeration"靶场挑战，这次经历堪称精彩。下面，我将这次"侦探行动"的过程和收获分享给大家，希望能帮你掌握这项基本功！

第一步：侦查网络地图

就像侦探先要了解案发现场的地形一样，我们的第一步是确定网络中有哪些活跃的机器。

靶场给了我一个IP范围：10.211.11.0/24。首先，我用fping命令快速扫描整个网段：

fping -aqg 10.211.11.0/24

很快，我找到了两个关键目标：

• 10.211.11.10：后来确认为域控制器(DC)
• 10.211.11.20：一台Windows工作站(WRK)

我把这两个IP地址保存到一个文件中，为接下来的深入侦查做准备。这就像侦探在案件开始时圈出几个关键地点一样，简单却至关重要。

第二步：通过SMB探索网络服务

有了目标IP后，下一步是看看这些机器上运行着什么服务，特别是与Active Directory相关的那些。

用Nmap扫描服务

我对域控制器(10.211.11.10)进行了Nmap扫描：

nmap -p 88,135,139,389,445 -sV -sC 10.211.11.10

这次扫描结果相当丰富：

• 端口88(Kerberos)：确认是Windows Kerberos认证服务
• 端口389(LDAP)：显示是Windows Active Directory LDAP服务，还泄露了域名：tryhackme.loc
• 端口445(SMB)：表明这是一台Windows Server 2019 Datacenter

这些信息就像在案发现场找到的各种线索，告诉我这确实是一个Active Directory环境，而且域名是tryhackme.loc。

寻找SMB共享文件夹

SMB服务就像公司里的共享文件柜，如果没设好锁，任何人都可能翻到机密文件。我用smbclient尝试列出所有共享：

smbclient -L //10.211.11.10 -N

令人兴奋的是，我发现了几个看起来很有趣的共享文件夹：AnonShare、SharedFiles和UserBackups。

进一步检查这些共享的权限：

nmap -p445 --script smb-enum-shares 10.211.11.10

结果显示这三个共享都有匿名读写权限！这就像发现公司文件柜不仅没锁，还贴着"请随意取阅"的标签。

在共享文件中寻宝

我连接到SharedFiles共享：

smbclient //10.211.11.10/SharedFiles -N

里面有个名为"Mouse and Malware.txt"的文件。下载后读取内容，发现是一个有关物理安全的警示故事。

接着，我连接到UserBackups共享：

smbclient //10.211.11.10/UserBackups -N

惊喜出现了！里面有个flag.txt文件

smb: > get flag.txt

下载后查看内容，得到了第一个任务的旗标：

THM{B@D SMB B@D}

这发现提醒我们，配置不当的SMB共享是多么危险，可能直接泄露敏感信息。

第三步：深入域环境侦查

前面的探索像是在大厦外围转悠，现在该进入内部，了解这个"公司"的组织架构、员工和规章制度了。

用enum4linux-ng进行全面侦查

enum4linux-ng是一款"瑞士军刀"式的工具，能一次性收集大量域信息：

enum4linux-ng -A 10.211.11.10

这个命令带回了大量信息：

• 域名：TRYHACKME
• 用户列表：一大堆域用户，包括Administrator、Guest、gerald.burgess、nigel.parsons等
• 密码策略：
• 最小密码长度：7
• 密码历史长度：24
• 密码复杂度：已启用
• 账户锁定阈值：10
• 锁定时长：2分钟

这些信息就像获得了公司的组织架构图和员工手册，为下一步行动提供了指导。

用rpcclient进行精确查询

有时候我们需要更精确的信息，rpcclient就派上用场了：

rpcclient -U "" 10.211.11.10 -N

在rpcclient提示符下，我执行了：

• enumdomusers：列出所有域用户及其RID
• queryuser rduke：查询特定用户的详细信息

通过这些命令，我发现：

• RID 1634对应的用户是katie.thomas
• 用户rduke的全名是Raoul Duke
• rduke属于"Domain Users"组

这些细节信息像是在查阅公司员工档案，让我对域中的用户有了更清晰的认识。

第四步：密码喷洒攻击

有了用户名清单和对域策略的了解，是时候尝试获取凭据了。密码喷洒是一种尝试少量常见密码攻击多个账户的技术，同时避免触发账户锁定。

再次确认密码策略

在开始攻击前，我用CrackMapExec再次确认密码策略：

• 最小密码长度：7
• 账户锁定阈值：10次
• 锁定时长：2分钟

知道这些信息很重要，就像知道保安巡逻的频率和路线，可以帮我们避免触发警报。

准备攻击素材

基于前面收集的用户名，我创建了一个users.txt文件。同时，根据靶场提示，我准备了一个可能的密码列表：

Password!
Password1
Password1!
P@ssword
Pa55word1

发起攻击

按照靶场指示，我对工作站(10.211.11.20)发起了密码喷洒攻击：

crackmapexec smb 10.211.11.20 -u users.txt -p passwords.txt

大部分尝试都显示STATUS_LOGON_FAILURE，这很正常。有些账户如user和sshd在多次尝试后显示STATUS_ACCOUNT_LOCKED_OUT，这告诉我确实存在账户锁定机制。

就在我快要放弃时，出现了激动人心的一行：

SMB         10.211.11.20    445    WRK              [+] tryhackme.locrduke:Password1! (Pwn3d!)

太棒了！我找到了有效凭据：rduke:Password1!

这就像侦探最终找到了破案关键线索，通过系统性的排查和一点运气，成功获取了域环境中的有效账号！

总结与反思

完成这个靶场后，我对Active Directory侦查有了更深的理解。这个过程就像一场精心策划的侦探工作，需要层层推进、综合分析：

1. 分层侦查至关重要：没有任何单一工具能做到一步到位，成功来自于组合使用nmap、smbclient、enum4linux-ng等工具的优势。
2. 匿名访问是重大隐患：配置错误允许的匿名SMB访问或空会话可能成为攻击者的信息金矿。
3. 理解状态码很重要：识别账户禁用或锁定状态与找到成功登录一样重要，它告诉你哪些账户应该忽略或何时暂停攻击。
4. 密码策略是行动指南：了解锁定阈值和复杂性规则使密码攻击更加智能。
5. 精准远胜盲猜：使用准确枚举的用户列表进行密码喷洒，比胡乱猜测要高效得多。

如果你也对网络安全感兴趣，强烈推荐尝试这个靶场。希望我的经验分享能帮助你在自己的学习之旅中少走弯路！