开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

ActiveMQ共享访问的AD凭据

指的是在ActiveMQ消息中间件中，实现共享访问的一种身份验证凭据，使用Active Directory（AD）进行身份验证。AD是一种由Microsoft开发的身份验证和授权服务，被广泛用于企业网络环境中。

使用AD凭据进行共享访问的优势在于：

集中管理：AD凭据允许集中管理和维护用户和组的身份验证信息，可以轻松添加、删除或更新凭据信息。
统一身份认证：AD凭据可以提供统一的身份认证机制，用户只需一次登录，即可访问多个相关应用和服务。
安全性：AD凭据使用加密算法，保护用户凭据信息的安全性。此外，AD还支持多种身份验证协议和技术，如LDAP、Kerberos等，提供更高的安全性保障。

ActiveMQ共享访问的AD凭据在以下场景中应用广泛：

企业级应用：在企业内部通信中，通过使用AD凭据，可以实现消息的可靠传递和安全访问，确保消息的机密性和完整性。
分布式系统：当多个分布式系统需要进行消息传递时，使用AD凭据可以简化身份验证过程，提高系统之间的互操作性。
异构系统集成：在不同的系统中，使用AD凭据可以实现系统之间的认证和授权，确保数据的一致性和安全性。

对于腾讯云相关产品，可以使用腾讯云的消息队列CMQ来实现ActiveMQ共享访问的AD凭据功能。CMQ是腾讯云提供的一种分布式消息队列服务，具有高可靠、高可用、高并发的特点。您可以通过以下链接了解更多关于腾讯云CMQ的信息： https://cloud.tencent.com/product/cmq

相关搜索:"az ad sp凭据列表“命令输出"enddate”到标准日期格式的转换 JMS + ActiveMQ:对数据的独占访问 withCredentials插件-访问检索到的多个凭据的值使用LdapConnection连接到AD/LDS的凭据无效使用独立于Web服务器的AD凭据的PHP应用程序中的SSO 共享使用Google Sheets API的Python可执行文件，但不共享凭据共享内存访问C++后共享内存中的值不同在Jenkins共享库中管理凭据的正确方法是什么？如何禁用对Jenkins管道中某些凭据的访问如何跟踪AD用户上次访问/映射共享文件夹的日期和时间

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

企业实战（12）消息队列之Docker安装部署ActiveMQ实战

ActiveMQ是一种开源的基于JMS（Java Message Servie）规范的一种消息中间件的实现，ActiveMQ的设计目标是提供标准的，面向消息的，能够跨越多语言和多系统的应用集成消息通信中间件。

03

Ansible之 AWX 管理清单和凭据的一些笔记

「傍晚时分，你坐在屋檐下，看着天慢慢地黑下去，心里寂寞而凄凉，感到自己的生命被剥夺了。当时我是个年轻人，但我害怕这样生活下去，衰老下去。在我看来，这是比死亡更可怕的事。--------王小波」

01

Active Directory中获取域管理员权限的攻击方法

攻击者可以通过多种方式获得 Active Directory 中的域管理员权限。这篇文章旨在描述一些当前使用的比较流行的。此处描述的技术“假设破坏”，即攻击者已经在内部系统上站稳脚跟并获得了域用户凭据（也称为后利用）。

01

域安全篇：寻找SYSVOL里的密码和攻击GPP

在2015年的黑帽大会和DEFCON上，我曾谈过黑客会如何从域用户提权到域管理。密码的难题每台Windows主机有一个内置的Administrator账户以及相关联的密码。大多数组织机构为了安全，可能都会要求更改密码，虽然这种方法的效果并不尽如人意。标准的做法是利用组策略去批量设置工作站的本地Administrator密码。但是这样又会出现另一个问题，那就是所有的电脑都会有相同的本地Administrator密码。也就是说，如果获取了一个系统的Administrator认证凭据，黑客就可以获取他们

07

基于zookeeper+leveldb的activemq集群

1.为什么选择zookeepr+leveldb,构建activemq主从集群官网关于主从集群的描述的原文地址为：http://activemq.apache.org/masterslave.html。下面是我的翻译. activemq有3中主从配置方式主从类型必备条件优点缺点 Shared File System Master Slave（共享文件系统）需要一个共享文件系统例如：SAN 可按需运行多个从节点，并能从故障中自动恢复需要一个SAN JDBC Master Slave 需要个共享的

04

Active Directory渗透测试典型案例（2）特权提升和信息收集

本文转载自：https://www.cnblogs.com/backlion/p/10843067.html

02

Windows 身份验证中的凭据管理

Windows 凭据管理是操作系统从服务或用户接收凭据并保护该信息以供将来向身份验证目标呈现的过程。对于加入域的计算机，身份验证目标是域控制器。身份验证中使用的凭据是将用户身份与某种形式的真实性证明（例如证书、密码或 PIN）相关联的数字文档。

01

内网渗透 | 浅谈域渗透中的组策略及gpp运用

最近在实战过程中遇到了组策略，发现攻击面其实挺宽广的，这里记录下自己的分析和学习过程。

02

浅谈域渗透中的组策略及gpp运用

组策略（英语：Group Policy）是微软Windows NT家族操作系统的一个特性，它可以控制用户帐户和计算机帐户的工作环境。组策略提供了操作系统、应用程序和活动目录中用户设置的集中化管理和配置。组策略的其中一个版本名为本地组策略（缩写“LGPO”或“LocalGPO”），这可以在独立且非域的计算机上管理组策略对象。

01

adfs是什么_培训与开发的概念

（如您转载本文，必须标明本文作者及出处。如有任何疑问请与我联系 me@nap7.com）

02

这是一份来自FBI、CISA、NSA的联合报告

据security affairs消息，联邦调查局(FBI)、网络安全和基础设施安全局（CISA）、美国国家安全局(NSA)联合发布了一份“关于BlackMatter勒索软件团伙”的运作咨询报告，并提供了相应的防护建议。该报告详细介绍了关于BlackMatter勒索软件团伙，在战术、技术和程序(TTPs)方面的信息。而BlackMatter 勒索软件的样本分析全部来自于可信的第三方报告。 2021年7月，BlackMatter勒索软件团伙启动运营，该团伙声称自己是Darkside和REvil团伙的继承者

01

Netlogon(CVE-2020-1472)讲解及复现

2020年08月12日，Windows官方发布了 NetLogon 特权提升漏洞的风险通告，该漏洞编号为 CVE-2020-1472，漏洞等级：严重，漏洞评分：10分。

01

非官方Mimikatz指南和命令参考

Mimikatz是从Windows系统收集凭据数据的最佳工具之一.实际上,大多数认为Mimikatz是Windows凭据的"瑞士军刀"(或多功能工具),该工具可以完成所有任务.由于Mimikatz的作者Benjamin Delpy是法国人,因此,至少在他的博客上,大多数描述Mimikatz用法的资源都使用法语.该Mimikatz GitHub的库是英文的,包括命令使用的有用信息.

02

kerberos认证下的一些攻击手法

Kerberos黄金票据是有效的TGT Kerberos票据，因为它是由域Kerberos帐户（KRBTGT）加密和签名的。TGT仅用于向域控制器上的KDC服务证明用户已被其他域控制器认证。TGT被KRBTGT密码散列加密并且可以被域中的任何KDC服务解密的。

06

蜜罐账户的艺术：让不寻常的看起来正常

本文介绍如何创建用作蜜罐（或蜜令牌）的帐户，这些帐户看起来像是提供了攻击者想要的东西（访问），但最终提供了防御者想要的东西（检测）。重点是使蜜罐帐户在 Active Directory 中看起来正常且“真实”，并且此前提应该在某种程度上可以移植到其他系统。

01

Active Directory渗透测试典型案例（1）

我有几个客户在渗透测试之前来找我，说他们的系统安全做得非常好，因为他们的漏洞扫描显示没有严重的漏洞并且已准备好进行安全测试，这使我在15分钟内利用AD中的错误配置获得了域管理员权限。

03

干货 | 域渗透之域持久性：Shadow Credentials

https://www.dsinternals.com/wp-content/uploads/eu-19-Grafnetter-Exploiting-Windows-Hello-for-Business.pdf

03

通过WebDav进行NTLM Relay

NTLM Relay大家已经不再陌生了，很多时候我们通过NTLM Relay进行攻击时，会受到协议签名(ldap/s、smb等协议签名)的影响从而导致攻击失败，并且随着时间的流逝，我们想要遇到忽略签名的smb等服务也变得越来越困难了，我们有哪些方法来忽略服务端验证签名的影响从而达到我们relay攻击的目的呢？

02

【壹刊】Azure AD（三）Azure资源的托管标识

前一周因为考试，还有个人的私事，一下子差点颓废了。想了想，写博客这种的东西还是得坚持，再忙，也要检查。要养成一种习惯，同时这也是自我约束的一种形式。虽然说不能浪费大量时间在刷朋友圈，看自媒体的新闻，看一些营销号的视频等等，不喜勿喷啊，这是我个人的一些观念，也没有带认识眼光啊！好了，废话不多说，在此先立个Flag，

02

Windows网络服务与配置管理之活动目录学习

活动目录英文全称为“Active Directory”，简称为AD。在windows系统组成的网络中，有服务器、客户机、用户账户、打印机、各种文件，这些资源都在各台计算机上，没有使用活动目录之前需要在各台计算机上单独管理这些资源。使用活动目录可以集中管理windows网络各类资源，"活动目录"就像一个数据库，存储着windows网络中的所有资源。

02

域渗透之GPP漏洞

GPP是指组策略首选项（Group Policy Preference），GPP通过操作组策略对象GPO（Group Policy Object）对域中的资源进行管理。

02

网络之路专题二：AAA认证技术介绍

在通信术语中，AAA认证是指**Authentication（认证）、Authorization（授权）和Accounting（计费）**的简称。

01

Google Earth Engine（GEE）—有JS和python为什么GEE还要使用rgee？

谷歌地球引擎是一个计算平台，允许用户在谷歌的基础设施上运行地理空间分析。与平台交互的方式有以下几种：

01

我所了解的内网渗透 - 内网渗透知识大总结

一般想知道哪一台是域控知道自己内网的DNS就可以了，一般域控安装都有安装DNS有些不止一台，其次是通过扫描获取开放端口为389机器或者使用NLTEST命令查看。最后就是各种网络查看查看域控是哪台主机

05

无需登录域控服务器也能抓 HASH 的方法

Active Directory 帮助 IT 团队在整个网络中集中管理系统、用户、策略等。因为它是组织不可分割的一部分，所以这给攻击者提供了机会，利用 Active Directory 的功能来做一些恶意的操作。在这篇文章中，我们可以了解到 DCSync 的原理及检测方法。

01

WeOps上新|V3.12版本提升网络设备的自动化能力

之前为了将一批数据库纳管起来，往往需要手动一个个输入，一些数据库配置信息发生了变动也需要一个个手动调整，往往面临操作繁杂、数据更新不及时的问题。WeOpsV3.12版本增加数据库自动发现采集能力，可对指定范围内数据库资产进行自动发现和采集、更新配置信息，自动同步到WeOps-资产记录中，自动新增/更新如下信息：

01

【内网渗透】域渗透实战之Monteverde

这是一组逻辑默认权限，但问题在于 TokenCache.dat 文件是一个包含当前会话的 AccessKey 的明文 JSON 文件。

01

SQLRecon：一款针对MSSQL的网络侦查与后渗透测试工具

SQLRecon是一款针对Microsoft SQL Server的安全研究工具，该工具专为红队研究人员设计，可以帮助广大研究人员针对MSSQL执行网络侦查和后渗透利用测试。

01

渗透测试基础 - - - 内网环境分析

通俗的讲就是局域网，网吧、校园网、单位办公网都属于此类。另外光纤到楼、小区宽带、教育网、有线电视Cable Modem上网虽然地域范围比较大但本质上还是基于以太网技术，所以任然属于内网。

02

云钓鱼：新伎俩和“皇冠上的宝石”

云计算为网络钓鱼者提供了一个收获和发展业务的新平台。不仅如此，其影响也更为广泛、危险。任何组织，无论大小，都不可避免地会受到网络钓鱼攻击的伤害。因此，了解攻击是如何发生的以及如何预防可谓至关重要。基于SaaS的网络钓鱼已经十分普遍。例如，数据显示超过90%的数据泄露都归咎于网络钓鱼，手段更是层出不穷，从被盗的凭据到恶意链接等等。此外，根据Palo Alto Networks发布的一份报告指出，研究人员发现网络钓鱼攻击正在大幅增加，该公司收集的数据显示，从2021年6月到2022年6月，这种攻击大幅增长了1

03

Microsoft 本地管理员密码解决方案 (LAPS)

问题企业环境中计算机上本地帐户的真正问题是“本地”一词用词不当。如果网络上的 50 台计算机的本地管理员帐户为“Administrator”，密码为“P@55w0rd1!”，首先这是一个可怕的密码。其次，更重要的是，如果其中一台计算机受到威胁，它们都将受到威胁。Windows 非常有帮助。非常有用，如果您将本地管理员凭据传递给具有相同本地凭据的另一台计算机，则授予访问权限，就像您使用目标系统凭据登录一样。将管理员凭据转储到一个以获取所有管理员！缓解此问题的最佳方法是确保每台计算机都有一个不同的本地管理员帐户密码，该密码长、复杂且随机，并且会定期更改。

01

【壹刊】Azure AD B2C（一）初识

上一节讲到Azure AD的一些基础概念，以及如何运用 Azure AD 包含API资源，Azure AD 是微软提供的云端的身份标识和资源访问服务，帮助员工/用户/管理员访问一些外部资源和内部资源：

04

域提权漏洞系列分析-Zerologon漏洞分析

本文是域提权漏洞系列分析中的Zerologon漏洞分析部分-其他部分还有几年的域提权漏洞和域提权手法

03

以最复杂的方式绕过 UAC

让我们从系统如何防止您绕过最无意义的安全功能开始。默认情况下，如果用户是本地管理员，LSASS 将过滤任何网络身份验证令牌以删除管理员权限。但是有一个重要的例外，如果用户是域用户和本地管理员，则 LSASS 将允许网络身份验证使用完整的管理员令牌。如果说您使用Kerberos在本地进行身份验证，这将是一个问题。这不是微不足道的 UAC 绕过吗？只需以域用户身份向本地服务进行身份验证，您就会获得绕过过滤的网络令牌？

03

通过ACLs实现权限提升

在内网渗透测试中我们经常会在几个小时内获得域管理权限，而造成这种情况的原因是系统加固不足和使用不安全的Active Directory默认值，在这种情况下公开的利用工具有助于发现和利用这些问题，并经常导致获得域管理权限，本篇博文描述了一个场景，在这个场景中我们的标准攻击方法不起作用，我们必须更深入地挖掘才能获得域中的高权限，我们描述了使用访问控制列表的更高级的权限提升攻击，并介绍了一个名为Invoke-Aclpwn的新工具和一个对ntlmrelayx的扩展，它可以自动执行这种高级攻击的步骤

03

Teradek IP视频设备固件中的远程代码执行

https://teradek.com/collections/vidiu-go-family

03

Dumping LSASS With No Mimikatz

Mimikatz是渗透测试中常用的知名工具，它主要用于从Windows上的内存中转储凭据，作为渗透测试人员此方法对于Windows Active Directory环境中的横向和纵向权限提升非常宝贵，并且几乎用于所有内网渗透测试，由于其受欢迎程度，Mimikatz可执行文件和PowerShell脚本已被大多数防病毒(AV)解决方案检测到，这篇文章将介绍几种替代方法来实现相同的目标而无需修改Mimikatz来躲避AV的查杀，以及一些预防和检测这种攻击的方法

02

在 Windows 系统上配置 Apache Git 服务器

本文介绍如何在 Windows 系统上配置 Apache Git 服务器，以及使用 AD 进行认证用户认证。

02

关于Web验证的几种方法

验证（Authentication）是具备权限的系统验证尝试访问系统的用户或设备所用凭据的过程。相比之下，授权（Authorization）是给定系统验证是否允许用户或设备在系统上执行某些任务的过程。简单地说：身份验证：你是谁？授权：你能做什么？身份验证先于授权。也就是说，用户必须先处于合法状态，然后才能根据其授权级别被授予对资源的访问权限。验证用户身份的最常见方法是用户名和密码的组合。用户通过身份验证后，系统将为他们分配不同的角色，例如管理员、主持人等，从而为他们授予一些特殊的系统权限。接下来，我们来看一下用于用户身份验证的各种方法。

03

Royal TSX for Mac(最强远程管理软件)v5.1.1激活版

Royal TSX for Mac激活版是mac系统上一款功能非常强大的远程连接管理工具。兼容多种连接类型，比如：RDP、VNC、基于SSH连接的终端，SFTP/FTP/SCP或基于Web的连接管理，Royal TSX 都可以满足您的要求！内置的凭证管理，安全的团队共享功能，共享连接列表，而无需共享您的个人凭据。

01

【壹刊】Azure AD 保护的 ASP.NET Core Web API （下）

一，引言上一节讲到如何在我们的项目中集成Azure AD 保护我们的API资源，以及在项目中集成Swagger，并且如何把Swagger作为一个客户端进行认证和授权去访问我们的WebApi资源的？本节就接着讲如何在我们的项目中集成 Azure AD 保护我们的API资源，使用其他几种授权模式进行授权认证，好了，开始今天的表演。🎉🎉🎉🎉🎉 二，正文 1，access_token的剖析！　上一篇结尾我们成功的拿到了 access_token，并且通过 access_token 验证获取到调用Api资源的

01

通过Webshell远程导出域控ntds.dit的方法

嗨，大家好！这次我想分享一些与“Windows Active Directory（AD）”环境相关的内容。我将使用Web shell向大家演示“如何转储Windows Active Directory用户数据库”。可能有这样一种情况在渗透测试期间，渗透测试人员连接到了Windows Active Directory forest其中一台计算机并获得了“Domain Admin”用户凭据和Web shell访问权限。渗透测试人员试图进一步的获得Reverse shell，但由于某些原因阻止了该行为（假设网络防火墙不允许）但测试者的最终目标可能并不是获取shell，而是转储AD用户数据库，即用户和ADL环境的NTLM密码哈希值。

01

内网渗透 | Kerberos 协议与 Kerberos 认证原理

如果你了解内网渗透，那么应该都对 IPC、黄金票据、白银票据、、PTT、PTK 这些老生常谈的词汇再熟悉不过了，对其利用也应该是了如指掌了吧。但是如果你对其背后的所使用的原理还不太了解的话，那么这篇（系列）文章你一定不能错过。

03

Win10 1709 无法访问局域网共享问题及解决[通俗易懂]

Win10升级更新为1709以后，出现了不能匿名访问局域网共享，同时本机的共享也无法被其它机器匿名访问。本文给出了设置方法来解决此问题。

02

内网渗透|Kerberos认证和黄金票据

Kerberos是一种计算机网络授权协议，用来在非安全网络中，对个人通信以安全的手段进行身份认证。

02

域的搭建和配置

在域架构中，最核心的就是DC(Domain Control，域控制器)。域控制器可分为三种：域控制器、额外域控制器和只读域控制器(RODC)。创建域环境首先要创建DC，DC创建完成后，把所有需要加入域的客户端加入到DC，这样就形成了域环境。网络中创建的第一台域控制器，默认为林根域控制器，也是全局编录服务器，FSMO操作主机角色也默认安装到第一台域控制器。一个域环境中可以有多台域控制器，也可以只有一台域控制器。当有多台域控制器的时候，每一台域控制器的地位几乎是平等的，他们各自存储着一份相同的活动目录数据库。当你在任何一台域控制器内添加一个用户账号或其他信息后，此信息默认会同步到其他域控制器的活动目录数据库中。多个域控制器的好处在于当有域控制器出现故障了时，仍然能够由其他域控制器来提供服务。

03

如何将CDH中集成的RedHat7版Kerberos切换至Active Directory的Kerberos认证

在前面Fayson介绍了多篇关于Window Server上安装的Active Directory服务，由于Active Directory服务即提供了统一的用户管理也提供了Kerberos认证服务，在向AD中新增用户的同时也为用户创建了相应的Kerberos账号，那本篇文章Fayson主要介绍，如何在不考虑自定义用户的Kerberos账号的前提下将CDH中集成的RedHat7的Kerberos迁移至AD的Kerberos认证。

06

Mac最强远程管理工具：Royal TSX

Royal TSX 是一款强大的远程管理工具，兼容多种连接类型，比如：RDP、VNC、基于SSH连接的终端，SFTP/FTP/SCP或基于Web的连接管理，Royal TSX 都可以满足您的要求！内置的凭证管理，安全的团队共享功能，共享连接列表，而无需共享您的个人凭据。

02

[干货基础]域渗透学习

Kerberos是一种由MIT提出的一种计算机网络授权协议，旨在通过使用加密技术为客户端/服务端应用程序提供强大的认证服务。域内访问其他应用应遵循服务Kerberos协议。完整的域内应用访问流程如图所示，首先由客户端向域控发起认证请求，域控验证用户是否属于合法域用户，若合法则由域控响应主机请求分发TGT认证票据(黄金票据可伪造TGT)，拿到证书后主机可以继续请求访问域内的应用服务，若权限符合域控会返回允许主机访问域内某应用服务的TGS票据，主机拿着TGS票据访问对应的应用服务，该应用服务器验证TGS通过后主机即可顺利访问应用服务

03

Docker学习之搭建ActiveMQ消息服务

ActiveMQ 是Apache出品，最流行的，能力强劲的开源消息总线。ActiveMQ 是一个完全支持JMS1.1和J2EE 1.4规范的 JMS Provider实现，尽管JMS规范出台已经是很久的事情了，但是JMS在当今的J2EE应用中间仍然扮演着特殊的地位。

02

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭