前言 当AD安装证书服务后,存在一个HTTP端点: ? 攻击者可以利用NTLM Over HTTP来进行ntlmrelay攻击。...详细的介绍可以参考:https://posts.specterops.io/certified-pre-owned-d95910965cd2 环境介绍 攻击机器:192.168.8.164 AD域控(SRV-DC...):192.168.8.144 AD辅域(SRV-DC2):192.168.8.155 攻击流程 默认普通用户普通权限: ?...成功进行relay,并获取到证书信息: ?...利用证书获取tgt并注入: Rubeus.exe asktgt /user:SRV-DC2$ /certificate:certificatebase64body /ptt ?
本文链接:https://ligang.blog.csdn.net/article/details/44243909 最近,在做项目时用到了两个比较好的js插件,在这里推荐给大家: 提取主域:tldjs.js...获取当前时区:jstz-1.0.4.min.js 一、提取主域 tldjs.js可以轻松判断主域的存在、提取主域、提取子域等 判断主域是否存在: tld.tldExists('google.com...'); // return 'true' 提取主域: tld.getDomain('fr.google.google'); // return 'google.google' 获取子域: tld.getSubdomain...return '' tld.getSubdomain('moar.foo.google.co.uk'); // returns 'moar.foo' 让用户填写URL时,我们经常允许填写IP,此时提取主域需注意...} 二、获取当前时区 jstz.min.js可以获取当前时区(时区ID) 示例: var timezone = jstz.determine(); timezone.name(); // "
如果你的计算机加入了某个AD域,则可以获取该域中所有的计算机和用户的信息。 所用程序集,需要.Net Framework 4。...获取AD域名称,未加入AD域的,只能获取计算机名称。 如果未加入任何域,则后续的获取域用户、计算机等操作将无法进行,实例化域上下文对象时,会抛出异常。...Given Name/First Name名:{0}", userPrincipalSearchResult.GivenName)); 8 sb.AppendLine(string.Format("名称...首先使用域上下文对象实例化一个计算机对象,然后使用该对象实例化一个查找对象。 查找的结果,即为计算机对象,循环获取信息即可。...string.Format("SAM账号名:{0}", computerPrincipalSearchResult.SamAccountName)); 10 sb.AppendLine(string.Format("名称
mydate.getmonth(); //获取当前月份(0-11,0代表1月) mydate.getdate(); //获取当前日(1-31) mydate.getday(); //获取当前星期...(); //获取当前分钟数(0-59) mydate.getseconds(); //获取当前秒数(0-59) mydate.getmilliseconds(); //获取当前毫秒数...mydate.tolocalestring( ); //获取日期与时间 例1,js获取当前时间 js中日期操作: 复制代码 代码示例: var mydate = new date(); mydate.getyear...mydate.getmonth(); //获取当前月份(0-11,0代表1月) mydate.getdate(); //获取当前日(1-31) mydate.getday(); //获取当前星期x(0-...clock += “0”; clock += hh + “:”; if (mm < 10) clock += ‘0’; clock += mm; return(clock); } 有时需要时间戳功能,js
由于保密要求,无法展示真实场景数据,故在本地搭建域环境进行测试。 在深入了解如何通过证书服务攻击获取域控权限之前,我们先进入草莓时刻,了解一下什么是AD CS。...证书注册Web服务(CES) 证书注册 Web 服务是一种 Active Directory 证书服务 (AD CS) 角色服务,它使用户和计算机能够使用 HTTPS 协议来进行证书注册。...主要有以下功能:请求、更新和安装颁发的证书、检索证书吊销列表 (CRL)、下载根证书、通过互联⽹或跨森林注册、为属于不受信任的 AD DS 域或未加⼊域的计算机⾃动续订证书。...0x02 AD CS + NTLM Relay获取域控权限 当我们配置好AD CS服务,在浏览器中访问http:///certsrv 时,将出现认证界面(此认证界面为NTLM...0x03 Conclusion 上述内容详细介绍了AD CS服务的搭建方法,以及配合NTLM Relay 服务获取域控权限。
Math.floor(Math.random() * (m - n + 1) + n) return num }, /// 通过 change 时间获取文件...this.list.push(obj.files[i]) } }, dropClick: function (e) { /// 拖拽情况获取文件
网上大堆资料都有一个关键词是 navigator.appName,但是这个方法获取的浏览器的名字只有两种要么是IE要么就是Netscap,倒是可以用来判断是否使用了IE,但是我想获取具体的浏览器产品名字比如...1) 获取浏览器名字+版本字符串 function getBrowserInfo() { var agent = navigator.userAgent.toLowerCase() ; var regStr_ie...agent.indexOf("safari") > 0 && agent.indexOf("chrome") < 0) { return agent.match(regStr_saf) ; } } (2)然后获取版本号
读取文件出错误了;', err.message) } else { console.log('读取文件成功了:', data) } }) /* path.basename()获取文件名...&&拓展名 */ const filePath = './007-path.basename()方法的使用.js'; // 只传路径,获取到的是带文件拓展名的string const fullName...path.basename(filePath); // 传入路径、拓展名,得到的是不带拓展名的文件名string const nameWithOutExt = path.basename(filePath, '.js...'); // 获取文件拓展名 const extName = path.extname(filePath) console.log('fullName:', fullName); console.log...nameWithOutExt: 007-path.basename()方法的使用 extName: .js 读取文件成功了: 小红: 99 小白: 100 小黄: 70 小黑: 66 小绿: 88
渗透测试人员试图进一步的获得Reverse shell,但由于某些原因阻止了该行为(假设网络防火墙不允许)但测试者的最终目标可能并不是获取shell,而是转储AD用户数据库,即用户和ADL环境的NTLM...) 3、管理获取Windows AD域管理用户(你可以使用任何可用的exploit,在这里我使用的是“MS14-025”来获得域管理员用户密码的) 现在,我可以在Windows机器上进行访问web shell...为了实现上述任务,我们将使用“psexec.exe”,如果我们使用“elevated”选项(通过指定-h)指定目标计算机IP、域管理员用户名及其密码,则可以在远程Windows计算机上执行命令。...从Web shell我们将使用“vssadmin”命令指定AD域控机器IP,域管理员用户名及其密码。 psexec文件将远程执行Windows AD域控计算机上的vssadmin命令。...如果一切顺利,我们将在目录“C:\xampp\htdocs\box\ps”中获取到一个名为“out.txt”的文件,它将包含在AD域控(192.168.56.200)上执行的“vssadmin list
单域环境搭建 创建域的必备条件 DNS域名:先要想好一个符合dns格式的域名,如 pentest.com DNS服务器:域中需要将自己注册到DNS服务器内,瓤其他计算机通过DNS服务器来找到这台机器,因此需要一台可支持...AD的DNS服务器,并且支持动态更新(如果现在没有DNS服务器,则可以在创建域的过程中,选择这台域控上安装DNS服务器) 注:AD需要一个SYSVOL文件夹来存储域共享文件(例如域组策略有关的文件),该文件夹必须位于...,输入要加入的域名称; ? ...如果加入域时候显示dns名称不存在 windows客户端加入域时报错:DNS名称不存在 windows客户端加入域时报错: DNS名称不存在,具体报错如下: --------------------...查询 DNS 以获取用于查找域“throld.com”的 Active Directory 域控制器(AD DC)的服务位置(SRV)资源记录时出现下列错误: 错误是: "DNS 服务器失败。"
此信息使攻击者能够收集网络会话信息并识别正在使用哪些计算机特权帐户。借助此信息,攻击者可以确定如何破坏单台计算机以获取对管理员凭据的访问权限并破坏 AD。...“验证” SPN 的一种快速方法是提取计算机名称并检查 AD 以查看是否在 AD 林中找到计算机名称。如果不是,这可能是可疑的(或一个非常旧的帐户)。...这会将密码随机化为无法猜测的密码,因为它像 AD 计算机帐户密码一样长且复杂。 将蜜罐帐户添加到特权 AD 组,并为攻击者提供获取假密码的能力。这可以通过看起来像服务帐户的蜜罐帐户来完成。...Active Directory 的默认配置允许任何用户将 10 个计算机帐户添加到 AD 域(技术上更多,因为每个计算机帐户可以添加 10 个)。...这意味着,如果没有与 LogonWorkstations 中的所有值相关联的计算机帐户,攻击者可能会使用受感染的用户帐户创建新的计算机帐户,并最终将其与未加入的计算机相关联,最终使用这台新加入域的计算机帐户以与蜜罐帐户交互登录
–获取域Kerberos服务帐户(KRBTGT)密码数据 SEKURLSA::LogonPasswords –列出所有可用的提供者凭证.这通常显示最近登录的用户和计算机凭据....AD计算机帐户的上下文中运行的服务.与kerberos::list不同,sekurlsa使用内存读取,并且不受密钥导出限制.sekurlsa可以访问其他会话(用户)的票证....由于黄黄金票据证是身份验证票证(如下所述的TGT),由于TGT用于获取用于访问资源的服务票证(TGS),因此其范围是整个域(以及利用SID历史记录的AD林).黄黄金票据证(TGT)包含用户组成员身份信息.../rc4 –服务(计算机帐户或用户帐户)的NTLM hash 白银票据默认组: 域用户SID:S-1-5-21 -513 域管理员SID:S-1-5-21 -...为了成功创建此Silver Ticket,需要通过AD域转储或通过在本地系统上运行Mimikatz来发现adsmswin2k8r2.lab.adsecurity.org的AD计算机帐户密码哈希,
网络设备注册服务 (NDES) 通过该组件,路由器、交换机和其他网络设备可以从 AD CS 获取证书。...为属于不受信任的 AD DS 域或未加入域的计算机自动续订证书。 证书注册策略 Web 服务 该组件使用户能够获取证书注册策略信息。...辅助域控搭建 这里使用的是windows server 2012做辅助域控 从主域复制 ESC1复现-域管理员的提权 攻击路径 如果攻击者可以在证书服务请求 (CSR) 中指定主题替代名称 (SAN...经理批准请求的证书是禁用的 无需授权签名 过于宽松的证书模板授予低特权用户注册权 证书模板定义启用身份验证的 EKUs 证书模板允许请求者指定其他主题替代名称(主题名称) 具体在AD DC中体现在证书模板中的设置错误...(pkiextendedkeyusage=*)))(mspkicertificate‐name‐ flag:1.2.840.113556.1.4.804:=1)) 那么我们首先申请一张证书,并将upn名称改成域管
CoInitialize()函数在程序内初始化COM; 2、我们需要使用ADsOpenObject()对LDAProotDSE进行绑定,因此我们可以收集有关活动目录的信息,并使用返回的IADsCOM对象来获取...其主要功能如下: 1、Recon-AD-Domain: 查询域信息(包括域名、GUID、站点名称、密码策略、域控列表等); 2、Recon-AD-Users: 查询用户对象和相应的属性; 3、Recon-AD-Groups...: 查询组对象和相应的属性; 4、Recon-AD-Computers: 查询计算机对象和相应的属性; 5、Recon-AD-SPNs: 查询配置了服务主体名称(SPN)的用户对象并显示有用的属性; 6...、Recon-AD-AllLocalGroups: 在计算机是上查询所有本地组和组成员; 7、Recon-AD-LocalGroups: 在计算机上查询特定的本地组和组成员(默认 Administrators...工具运行截图 使用Recon-AD-Domain显示本地机器的域信息: 使用Recon-AD-Groups Domain Admins命令枚举域管理员组的属性信息: 使用Recon-AD-User username
[1.png] 右击桌面上的“计算机”,在弹出的菜单出选择“属性”,点击“高级系统设置”-->“计算机名”,点击“更改”,在“计算机名”一栏中键入名称,在“工作组”一栏中键入工作组名称。...若要访问某个部门的资源,就在“网上邻居”里找到对应的部门工作组名称,双击即可看到对应的电脑了。计算机通过工作组进行分类,使得我们访问资源更加具有层次化。...由一个或多个没有形成连续名称空间的域树组成,林中每个域树都有唯一的名称空间,之间不连续。 可以通过域树之间建立的信任关系来管理和使用整个域林中的资源,从而又保持了原有域自身的特性。...而有一台备份域控制器 (BDC),那么该域还能正常使用,期间把瘫痪的 DC 恢复了即可。当域中的一台计算机安装了 AD 后,它就成了域控 DC 了。...LDAP ldap 是基于 tcp/ip 的轻量级目录访问协议,这种数据库文件后缀都为 .ldif,并使用特殊的节点查询语句来获取相应数据。
当然加入域的计算机并不代表只能呆在域中,如果只是用本地账户而非域账户登录,计算机和在工作组中没有什么不同。...另外最好预先修改计算机名称并重新启动,以免完成安装后再修改域控制器名称所带来的麻烦。...域树的名称与第一个域相同,林的名称与第一个域树相同,也与第一个域相同。因而域名称的选择是很重要的,搭建好域后修改域名称虽然可行,但是毕竟存在很大的风险。...在域中计算机、集群等名称的解析,需要DNS服务的支持。...三、测试和维护域 1、修改域控制器计算机名 修改域控制器计算机名不能简单的打开计算机属性直接进行修改,涉及域内名称解析,修改不当可能会造成找不到域控制器的麻烦。
如果客户端计算机身份验证请求包含有效的用户凭据和服务主体名称 (SPN),则 Kerberos 身份验证服务器将授予一个票证以响应该请求。然后,客户端计算机使用该票证来访问网络资源。...由于用户已经选择了密码,因此绑定到域用户帐户而不是计算机帐户的服务更可能被配置为弱密码,而对用户有规范名称的服务应该会成为Kerberoasting攻击的针对目标。...Empire PowerShell Empire还有一个可显示域帐户的服务主体名称(SPN)的模块。...Impacket 服务主体名称(SPN)也可以从未加入域的系统中发现,impacket工具包下的python版GetUserSPNs可以为我们做到这点。...但是,无法使用基于token的身份验证,因此与Active Directory进行通信需要获取有效的域凭证。 .
,并从 Active Directory 证书服务获取允许提升权限的证书。...从本质上讲,该漏洞允许普通域用户在通过 Active Directory 证书服务 (AD CS) 服务器将权限提升到域管理员。 用户可以根据预定义的证书模板请求证书。...默认情况下,域用户可以注册User证书模板,域计算机可以注册Machine证书模板。两个证书模板都允许客户端身份验证。... 其中 匹配计算机名称, 匹配计算机的 DNS 域名。...6.同时如果是使用3.1.5.2.1.1 SAN DNSName 字段来进行证书映射的话,KDC会: KDC确认找到的帐户名称与以“$”结尾的证书的 DNSName 字段中的计算机名称匹配, 并且证书的
此 GMSA 是域管理员组的成员,该组对域具有完全的 AD 和 DC 管理员权限。屏幕截图显示密码最近更改了,几周内不会更改 - 更改于 2020 年 5 月 11 日,并配置为每 30 天更改一次。...让我们来看看… 我们可以识别出 LCNSQL01 服务器在 GMSA 上注册为服务主体名称 (SPN),并且我们看到该服务器位于 Servers OU 中。...破坏其中一个,GMSA 帐户就会受到破坏,并且由于它是域中管理员组的成员,因此我们拥有该域。 一旦我们破坏了能够提取明文密码的用户(或计算机!)帐户。...计算机帐户有权提取密码,但不是该计算机上的用户,因此我提升到 SYSTEM,然后作为关联的 AD 计算机帐户与 AD 交互。现在我可以得到 GMSA 密码了。...我使用DSInternals命令 Get-ADReplAccount 来获取 AD 密码哈希,并且可以确认从 GMSA 提取的密码哈希与从 AD 收集的密码哈希相同。
黄金票证(TGT)可以在任何计算机上生成和使用,即使其中一台未加入域也是可以的。...使用域Kerberos服务帐户(KRBTGT)对黄金票证进行加密/签名时,通过服务帐户(从计算机的本地SAM或服务帐户凭据中提取的计算机帐户凭据)对银票进行加密/签名。...这降低攻击者通过横向扩展,获取域管理员的账户,获得访问域控制器的Active Directory的ntds.dit的权限。...如果攻击者无法访问AD数据库(ntds.dit文件),则无法获取到KRBTGT帐户密码。 2.建议定期更改KRBTGT密码。更改一次,然后让AD备份,并在12到24小时后再次更改它。...监视TGT票证的生存期,以获取与默认域持续时间不同的值。
领取专属 10元无门槛券
手把手带您无忧上云