文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

Active Directory中获取域管理员权限的攻击方法

攻击者可以通过多种方式获得 Active Directory 中的域管理员权限。这篇文章旨在描述一些当前使用的比较流行的。...由于经过身份验证的用户(任何域用户或受信任域中的用户)对 SYSVOL 具有读取权限,因此域中的任何人都可以在 SYSVOL 共享中搜索包含“cpassword”的 XML 文件,该值是包含 AES 加密密码的值...不要将密码放在所有经过身份验证的用户都可以访问的文件中。 有关此攻击方法的更多信息在帖子中进行了描述:在 SYSVOL 中查找密码并利用组策略首选项。...Kerberos TGS Service Ticket离线破解(Kerberoast) Kerberoast 可以作为普通用户从 Active Directory 中提取服务帐户凭据的有效方法,而无需向目标系统发送任何数据包...访问 Active Directory 数据库文件 (ntds.dit) Active Directory 数据库 (ntds.dit) 包含有关 Active Directory 域中所有对象的所有信息

7K10
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    内网协议NTLM之内网大杀器CVE-2019-1040漏洞

    由于安装Exchange后,Exchange在Active Directory域中具有高权限,Exchange的本地计算机账户会将我们需要提升权限的用户拉入到用户组Exchange Trusted Subsystem...Exchange Windows Permissions组可以通过WriteDacl方式访问Active Directory中的Domain对象,该对象允许该组的任何成员修改域权限,从而可以修改当前域ACL...这可以是攻击者从中获取密码的计算机帐户,因为他们已经是工作站上的Administrator或攻击者创建的计算机帐户,滥用Active Directory中的任何帐户都可以默认创建这些帐户。...Directory域中具有高权限,Exchange的本地计算机账户EX$会被加入用户组Exchange Trusted Subsystem,该用户组又隶属于Exchange Windows Permissions...Exchange Windows Permissions组可以通过WriteDacl方式访问Active Directory中的Domain对象,该对象允许该组的任何成员修改域权限,从而可以修改当前域ACL

    7.5K31

    Active Directory教程3

    为防范这种威胁,默认情况下,RODC 不将密码哈希存储在其目录信息树 (DIT) 中。因此,用户首次向特定的 RODC 进行身份验证时,RODC 会将该请求发送给域中的完全域控制器 (FDC)。...在通常情况下,域中的每个 KDC 共享相同的 KrbTGT 帐户,所以有可能***者从窃得的 DC 上获取这些密钥,然后使用它们***域的其余部分。...从信任角度讲,FDC 将 RODC 视为域中的成员服务器。RODC 不是企业域控制器或域控制器组的成员。...域管理员使用 Active Directory 用户和计算机 MMC 管理单元预先在域中创建 RODC 计算机帐户,如下图中所示。...最后,如果林中其他域的用户试图向 RODC 验证,RODC 必须能够访问其所在域的完全 DC 来获取信任密码,以便将验证请求正确传递给用户域中的 DC。

    2.1K10

    Cloudera安全认证概述

    收集有关KDC的所有配置详细信息(或在设置过程中让Kerberos管理员可以帮助您)是与集群和Kerberos集成无关的一项重要的初步任务,而与部署模型无关。...但是,Active Directory将将访问集群的用户主体存储在中央领域中。用户必须先在此中央AD领域进行身份验证才能获得TGT,然后才能与集群上的CDH服务进行交互。...必须从本地Kerberos领域到包含要求访问CDH集群的用户主体的中央AD领域建立单向跨领域信任。无需在中央AD领域中创建服务主体,也无需在本地领域中创建用户主体。 ?...对于第三方提供商,您可能必须从各自的供应商处购买许可证。此过程需要一些计划,因为要花费时间来获取这些许可证并将这些产品部署在集群上。...您还需要在AD中完成以下设置任务: Active Directory组织单位(OU)和OU用户 -应该在Active Directory中创建一个单独的OU,以及一个有权在该OU中创建其他帐户的帐户。

    3.8K10

    通过ACLs实现权限提升

    Directory Changes All 当我们为用户帐户设置这些权限时我们能够请求域中任何用户的密码散列,包括域中krbtgt帐户的密码散列,关于权限提升技术的更多信息可以在下面的GitHub页面上找到...,这需要一些时间来枚举,但最终可能会产生一个链来获取domain对象上的writeDACL权限 计算完链后,脚本将开始利用链中的每一步: 用户被添加到必要的组中 两个ACE被添加到域对象的ACL中 Replicating...虽然这种方法可行但它没有考虑中继用户可能拥有的任何特殊权限,通过这篇文章中的研究,我们在ntlmrelayx中引入了一种新的攻击方法,这种攻击首先请求重要域对象的ACL,然后将其从二进制格式解析为工具可以理解的结构...(几乎可以控制域中的所有组) 如果使用-upgrade-user标志指定了现有用户,则在可以执行ACL攻击的情况下,该用户将被授予复制权限,如果使用组攻击则该用户将被添加到高权限组,如果没有指定现有用户...,可以使用PowerShell查询Windows事件日志,因此这里有一个从ID为5136的安全事件日志中获取所有事件的一行程序 [code lang=powershell] Get-WinEvent -

    3.3K30

    CDP私有云基础版用户身份认证概述

    收集有关KDC的所有配置详细信息(或在设置过程中让Kerberos管理员可以帮助您)是与集群和Kerberos集成无关的一项重要的首要任务,而与部署模型无关。...但是,Active Directory将将访问集群的用户主体存储在中央领域中。用户必须先在此中央AD领域进行身份验证才能获得TGT,然后才能与集群上的CDH服务进行交互。...必须从本地Kerberos领域到包含要求访问CDH集群的用户主体的中央AD领域建立单向跨领域信任。无需在中央AD领域中创建服务主体,也无需在本地领域中创建用户主体。 ?...对于第三方提供商,您可能必须从各自的供应商处购买许可证。此过程需要一些计划,因为要花费时间来获取这些许可证并将这些产品部署在集群上。...您还需要在AD中完成以下设置任务: Active Directory组织单位(OU)和OU用户 -应该在Active Directory中创建一个单独的OU,以及一个有权在该OU中创建其他帐户的帐户。

    3.6K20

    内网渗透测试研究:从NTDS.dit获取域散列值

    Ntds.dit 在域环境中,活动目录是域中提供目录服务的组件,其可以帮助用户快速准确地从目录中找到其所需要的信息。...在规模较大的网络中,要把网络中的众多对象,例如计算机、用户、用户组、打印机、共享文件等分门别类、井然有序的存放在一个大仓库中,并做好信息索引,一遍查找、管理和使用这些资源对象。...该工具不仅能够提取与用户对象、组对象、计算机对象相关的信息,同时还能从NTDS.dit文件中删除对象。...提取到的哈希值可以用hashcat等工具进行破解,详情请看我的另一篇文章:《内网横向移动研究:获取域内单机密码与Hash》 由于Ntds.dit包括但不限于有关域用户、组和组成员身份和凭据信息、GPP等信息...Ntdsxtract中还具有一个“dscomputers.py”工具可以从分离出来的表中提取域中计算机信息。这对于离线分析目标信息是非常有用的。

    4K30

    蜜罐账户的艺术:让不寻常的看起来正常

    在大多数 Active Directory 环境中,我们可以作为普通 AD 用户(在某些情况下没有有效的 AD 凭据)扫描所有这些 AD 森林。...识别特权账户  让我们从#1 开始。我们可以递归枚举 AD 森林中每个域中的管理员组,也可以扫描每个域中用户属性“AdminCount”设置为 1 的所有 AD 用户帐户。...我通常将“旧密码”定义为超过 5 年,因为 Active Directory 安全性实际上只是在过去 5 年左右(大约从 2014/2015 年左右开始)成为大多数组织的关注点。...此信息使攻击者能够收集网络会话信息并识别正在使用哪些计算机特权帐户。借助此信息,攻击者可以确定如何破坏单台计算机以获取对管理员凭据的访问权限并破坏 AD。...Active Directory 的默认配置允许任何用户将 10 个计算机帐户添加到 AD 域(技术上更多,因为每个计算机帐户可以添加 10 个)。

    2.5K10

    谈谈域渗透中常见的可滥用权限及其应用场景(二)

    它使用图形理论来自动化的在 Active Directory 环境中搞清楚大部分人员的关系和细节。...在没有启用 AD 回收站的域中,当 Active Directory 对象被删除时,它会变成一个墓碑 。其在指定的时间段内保留在分区的 Deleted Objects 容器中 tombstone中 。...与墓碑一样,它的大部分属性都被删除,并且在 tombstoneLifetime 属性指定的时间段内持续存在于 Active Directory 中。...然后它会被 Active Directory 的垃圾收集器清理掉。在启用回收站的情况下删除的对象的生命周期如下所示: 简介: AD Recycle Bin是一个著名的 Windows 组。...Active Directory 对象恢复(或回收站)是 Server 2008 中添加的一项功能,允许管理员恢复已删除的项目,就像回收站对文件所做的一样。

    1.4K20

    Kerberos 黄金门票

    在包括在伪造票证的 SID 历史记录中包含任意 SID 的功能。 SID 历史记录是一项旧功能,可实现跨 Active Directory 信任的回溯。...在单个域 Active Directory 林中,不存在此限制,因为 Enterprise Admins 组托管在此域中(这是创建黄金票证的地方)。...在迁移方案中,从 DomainA 迁移到 DomainB 的用户将原始 DomainA 用户 SID 添加到新的 DomainB SIDHistory 属性。...更新: 已经注意到,在 Active Directory 林中的信任之间启用 SID 过滤可以缓解这种情况,因为 SID 历史记录不起作用。...这些可能看起来像小问题,但我已经看到几个大型企业 AD 环境在采用非标准方法时会中断,因为开发人员在测试时没有考虑配置。 请注意,Active Directory 域不是 安全边界;AD森林是。

    1.8K20

    Active Directory 域安全技术实施指南 (STIG)

    AD 信任关系的配置是用于允许一个域中的用户访问另一个域、林或 Kerberos 领域中的资源的步骤之一。当信托被定义... V-36435 高的 必须禁止授予特权帐户。...V-8549 中等的 必须从所有高特权组中删除不属于同一组织或不受相同安全策略约束的外部目录中的帐户。 某些默认目录组中的成员资格分配了访问目录的高权限级别。...V-8547 中等的 必须从 Pre-Windows 2000 Compatible Access 组中删除所有人和匿名登录组。...V-25997 中等的 只读域控制器 (RODC) 体系结构和配置必须符合目录服务要求。 RODC 角色为从内部网络到 DMZ 的选定信息提供单向复制方法。...V-8521 低的 具有委派权限的用户帐户必须从 Windows 内置管理组中删除或从帐户中删除委派权限。 在 AD 中,可以委派帐户和其他 AD 对象所有权和管理任务。

    1.7K10

    攻击 Active Directory 组托管服务帐户 (GMSA)

    当我们在 Trimarc 执行 Active Directory 安全评估时,我们发现在 AD 环境中组托管服务帐户的使用有限。应尽可能使用 GMSA 将用户帐户替换为服务帐户,因为密码将自动轮换。...组管理服务帐户 (GMSA) 创建用作服务帐户的用户帐户很少更改其密码。组托管服务帐户 (GMSA)提供了一种更好的方法(从 Windows 2012 时间框架开始)。密码由 AD 管理并自动更改。...托管 GMSA 服务帐户的计算机从 Active Directory 请求当前密码以启动服务。 配置 GMSA 以允许计算机帐户访问密码。...破坏其中一个,GMSA 帐户就会受到破坏,并且由于它是域中管理员组的成员,因此我们拥有该域。 一旦我们破坏了能够提取明文密码的用户(或计算机!)帐户。...我在实验室中执行的下一步是确认 DSInternals 提供的 NT 密码散列与 Active Directory 中的匹配。

    2.7K10

    红队战术-从域管理员到企业管理员

    基础知识补充 企业管理员:是域森林根域中的企业管理员组成员,该组的成员在域森林中的每一个域内的administrators组的成员,对所有的域控制器具有完全的访问权限。...这些包括身份验证协议,网络登录服务,本地安全机构(LSA)和Active Directory中存储的受信任域对象(TDO)。...TDO密码 信任关系中的两个域共享一个密码该密码存储在Active Directory的TDO对象中。作为帐户维护过程的一部分,信任域控制器每三十天更改一次存储在TDO中的密码。...但是,域B中的用户不能访问域A中的资源。 Active Directory林中的所有域信任都是双向的可传递信任。创建新的子域时,将在新的子域和父域之间自动创建双向传递信任。...,我们仍然可以通过可以使用sidHistory方法来获得信任。

    1.4K20

    【内网安全】域信息收集&应用网络凭据&CS插件&Adfind&BloodHound

    将不同的电脑按功能分别列入不同的组中,以方便管理。默认情况下所有计算机都处在名为 WORKGROUP 的工作组中,工作组资源管理模式适合于网络中计算机不多,对管理要求不严格的情况。...可以简单的把域理解成升级版的“工作组”,相比工作组而言,它有一个更加严格的安全管理控制机制,如果你想访问域内的资源,就必须拥有一个合法的身份登陆到该域中,而你对该域内的资源拥有什么样的权限,还需要取决于你在该域中的用户身份...因此,域渗透的思路就是:通过域成员主机,定位出域控制器IP及域管理员账号,利用域成员主机作为跳板,扩大渗透范围,利用域管理员可以登陆域中任何成员主机的特性,定位出域管理员登陆过的主机IP,设法从域成员主机内存中...BloodHound使用可视化图来显示Active Directory环境中隐藏的和相关联的主机内容。攻击者可以使用BloodHound轻松识别高度复杂的攻击路径,否则很难快速识别。...防御者可以使用BloodHound来识别和防御那些相同的攻击路径。蓝队和红队都可以使用BloodHound轻松深入了解Active Directory环境中的权限关系。

    53010

    内网渗透-活动目录利用方法

    这实际上意味着您现在可以将新用户添加到该组中。 但是,好像无法使用Active Directory模块和Set-Acl / Get-Acl cmdlets来赋予权限。...Directory中的任何用户都可以枚举域或林DNS区域中的所有DNS记录,类似于区域传输(用户可以在AD环境中列出DNS区域的子对象)。...这里的重要信息是,NTAuthCertificates对象是Active Directory中证书认证的信任根!...https://github.com/GhostPack/Certify Certipy是一个Python工具,可以从任何能够生成BloodHound输出的系统(具有对DC的访问权限)中枚举和滥用Active...此外,一些打印机可能会包含记录用户名的日志,甚至可以从域控制器上下载所有用户名。所有这些敏感信息以及常见的安全缺失使得打印机对攻击者非常有吸引力。

    2.3K10

    使用Adidnsdump转储Active Directory DNS

    DNS域传送漏洞是在黑客常用的一种漏洞攻击手段。要实现域传送漏洞,就需要一个不安全配置的DNS服务器,允许匿名用户传输所有记录并收集有关网络中主机的信息。...然后网络上的任何用户都可以获取所有传送记录并收集有关网络中服务器的信息。然而,目前还很少有人知道,如果使用Active Directory集成DNS,任何用户都可以默认查询所有DNS记录。...本文,我会给你介绍了一个默认查询所有DNS记录的工具——Adidnsdump ,即使你是一个没有读取传送记录权限的用户,也可以使用以下方法获得域环境中的所有DNS解析记录。...0x03 在LDAP中查询DNS记录的最明显方法是执行查询,选择该类的所有对象,这些对象dnsNode表示DNS区域中的条目。...0x04 使用adidnsdump,您可以从GitHub获取,可以枚举DNS区域中的所有记录。首先,首先显示您当前所在域中的区域--print-zones。这将显示存在哪些区域。

    2.1K20

    在 Windows 中将域用户添加到本地管理员组

    若要向技术支持人员、技术支持团队、某些用户和其他特权帐户授予域计算机上的本地管理员权限,必须将必要的 Active Directory 用户或组添加到服务器或工作站上的本地管理员组。...还可以使用命令提示符显示具有本地计算机管理员权限的用户列表: net localgroup administrators 可以使用以下 PowerShell 命令获取本地组中的用户列表: Get-LocalGroupMember...在这种情况下,您可以使用内置的本地管理员和存储在 Active Directory 中的密码(使用本地管理员密码解决方案/LAPS 实现)在用户计算机上执行一次性管理任务。...在 Active Directory 域环境中,最好使用组策略授予域计算机上的本地管理员权限。这比手动将用户添加到每台计算机上的本地管理员组要简单、方便和安全得多。...;您可以从所有计算机上的本地管理员中删除所有手动添加的用户和组。

    32410
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券