LDAP(Light Directory Access Protocal)是一个基于X.500标准的轻量级目录访问协议,LDAP是支持跨平台的Internet协议,只需要通过LDAP做简单的配置就可以与服务器做认证交互。可以大大降低开发的成本。

windows Active Diretcory就是一个支持LDAP的微软产品。

活动目录是指域环境中提供目录服务的组件,它用于存储网络对象信息(用户、组、打印机等)。

把活动目录理解成一个可扩展的,撞门为了查询、浏览、搜索优化的特殊数据库,就像windows文件目录的结构一样。目录数据库与MySQL这种关系型数据库相比,具有优异的可读性,但是可写性能很差,而且没有备份还原这样的功能。

信息收集:操作系统、权限、用户、ip段、杀软、端口、进程、服务、补丁、计划任务、共享、会话

利用LDAP进行信息收集

前提是能够访问DC的389端口,且已经知道域内的一个账号密码,假设我们已经知道域内用户test1的密码时admin@123,DC的ip是192.168.190.130

1.使用ldapsearch获取信息

该工具只能在域环境下使用,因此一般当获得shell后,挂socks代理,在本地进行操作查询。

参数说明:

-x:进行简单认证

-H:服务器地址

-D:用来绑定服务器的DN

-w:绑定DN的密码

-b:指定要查询的根节点

•获取所有信息

•ldapsearch.exe -x -H ldap://192.168.17.133:389 -D "CN=test1,CN=Users,DC=hacker,DC=test" -w Asdfqwer.. -b "DC=hacker,DC=test"

•查询用户

•ldapsearch.exe -x -H ldap://192.168.17.133:389 -D "CN=test1,CN=Users,DC=hacker,DC=test" -w Asdfqwer.. -b "DC=hacker,DC=test" "(&(objectClass=user)(objectCategory=person))" | grep ^cn

•查询计算机名

•ldapsearch.exe -x -H ldap://192.168.17.133:389 -D "CN=test1,CN=Users,DC=hacker,DC=test" -w Asdfqwer.. -b "DC=hacker,DC=test" "(&(objectCategory=computer)(objectClass=computer))" | grep ^cn

•查询域内组

•ldapsearch.exe -x -H ldap://192.168.17.133:389 -D "CN=test1,CN=Users,DC=hacker,DC=test" -w Asdfqwer.. -b "DC=hacker,DC=test" "(&(objectCategory=group))" | grep ^cn

2.使用PowerSploit工具搜索信息

•模块目录

•$env:PSModulePath

•更改策略

•set-executionpolicy remotesigned

•加载模块

•Import-Module -name 路径

•下载地址:

https://github.com/PowerShellMafia/PowerSploit

$uname="test1"

$pwd=ConvertTo-SecureString "Asdfqwer.." -AsPlainText -Force

$cred=New-Object System.Management.Automation.PSCredential($uname,$pwd)

•查询用户

Get-NetUser -Domain hacker.test -DomainController 192.168.17.133 -ADSpath "LDAP://DC=hacker,DC=test" -Credential $cred | fl cn

•查询计算机名

Get-NetComputer -Domain hacker.test -DomainController 192.168.17.133 -ADSpath "LDAP://DC=hacker,DC=test" -Credential $cred | fl cn

•查询域内组

Get-NetGroup -Domain hacker.test -DomainController 192.168.17.133 -ADSpath "LDAP://DC=hacker,DC=test" -Credential $cred | fl cn

3.sharpview获取信息

•查询所有用户

•SharpView.exe Get-NetUser -Domain hacker.test -Server 192.168.17.133 -Credential test1@hacker.test/Asdfqwer.. | findstr cn

•模块

•Get-DomainController

•Get-NetUser

•Get-DomainComputer

•下载地址

https://github.com/tevora-threat/SharpView

域渗透之ldap协议的更多相关文章

  1. 域渗透基础之NTLM认证协议

    域渗透基础的两个认证协议ntlm和Kerberos协议是必须总结的~ 这篇简单总结下ntlm协议 晚上写下kerberos 0x01 NTLM简介 NTLM使用在Windows NT和Windows ...

  2. 域渗透:SPN(ServicePrincipal Names)的利用

    SPN 简介:服务主体名称(SPN:ServicePrincipal Names)是服务实例(可以理解为一个服务,比如 HTTP.MSSQL)的唯一标识符.Kerberos 身份验证使用 SPN 将服 ...

  3. AD域渗透总结

    域渗透总结 学习并做了一段时间域网络渗透,给我直观的感受就是思路问题和耐心,这个不像技术研究,需要对一个点进行研究,而是遇到问题后要从多个方面思考,寻找"捷径"思路,只要思路正确, ...

  4. 域渗透 | kerberos认证及过程中产生的攻击

    ​文章首发于公众号<Z2O安全攻防>​ 直接公众号文章复制过来的,排版可能有点乱, 可以去公众号看. https://mp.weixin.qq.com/s/WMGkQoMnQdyG8UmS ...

  5. Active Directory的LDAP协议与DN(Distinguished Name)详解

    前言 光copy几段代码的文章没什么意思,本章上最基础的代码,主要是为了从编程方面聊LDAP和DN,其它的后面聊,一步步慢慢来吧. Active Directory编程须知 1.域控服务器: Wind ...

  6. 域渗透-Kerberos身份验证流程

    域渗透-Kerberos身份验证流程 Kerberos协议框架 在 Kerberos 协议中主要是有三个角色的存在: 1. 访问服务的 Client: 2. 提供服务的 Server: 3.KDC(K ...

  7. LDAP协议介绍

    LDAP协议基础概念  1. 从用途上阐述LDAP,它是一个存储静态相关信息的服务,适合"一次记录多次读取".经常使用LDAP服务存储的信息: 公司的物理设备信息(如打印机,它的I ...

  8. 初级AD域渗透系列

      net group /domain 获得所有域用户组列表 net group “domain admins” /domain 获得域管理员列表 net group “enterprise admi ...

  9. 认识LDAP协议

    LDAP LDAP是Lightweight Directory Access Protocol的缩写,顾名思义,它是指轻量级目录访问协议(这个主要是相对另一目录访问协议X.500而言的:LDAP略去了 ...

随机推荐

  1. 构建调试Linux内核网络的环境Menuos系统

    一.Linux内核源码下载 下载网址为:https://cdn.kernel.org/pub/linux/kernel/v5.x/linux-5.0.1.tar.xz 下载完成后放入home/Menu ...

  2. Redis基础——剖析基础数据结构及其用法

    这是一个系列的文章,打算把Redis的基础数据结构.高级数据结构.持久化的方式以及高可用的方式都讲一遍,公众号会比其他的平台提前更新,感兴趣的可以提前关注,「SH的全栈笔记」,下面开始正文. 如果你是 ...

  3. git学习(五) git diff操作

    git diff操作 git diff用于比较差异: git diff 不加任何参数 用于比较当前工作区跟暂存区的差异 git diff --cached 或者--staged 对比暂存区(git a ...

  4. return i++ 是先用再加么

    return i++ 比较特殊,先是return i:然后i++. return i=i+ 1 则不同,它是先让i=i+1,再return

  5. 在PostgreSQL中CREATE STATISTICS

    如果你用Postgres做了一些性能调优,你可能用过EXPLAIN.EXPLAIN向你展示了PostgreSQL计划器为所提供的语句生成的执行计划,它显示了语句所引用的表如何被扫描(使用顺序扫描.索引 ...

  6. Win32之创建进程

    CreateProcess函数介绍 BOOL CreateProcessA( LPCSTR lpApplicationName, //可执行文件的名称完整的路径+程序名字) LPSTR lpComma ...

  7. java数据结构-06双向循环链表

    双向循环链表跟单向链表一样,都是头尾相连,不过单向是尾指向头,双向是头尾互相指,可以从前往后查,也可以从后往前查 无头结点的双向循环链表 public class CircleLinkedList&l ...

  8. dcoker 搭建单节点redis

    1.安装docker 1.检查内核版本,必须是3.10及以上 [root@localhost ~]# uname -r 2.安装docker [root@localhost ~]# yum insta ...

  9. 水题挑战1:NOIP 2013 选择客栈

    丽江河边有\(n\) 家很有特色的客栈,客栈按照其位置顺序从 \(1\) 到 \(n\) 编号.每家客栈都按照某一种色调进行装饰(总共 \(k\) 种,用整数 \(0 \sim k-1\) 表示),且 ...

  10. ZOJ 1005 Jugs(BFS)

    Jugs In the movie "Die Hard 3", Bruce Willis and Samuel L. Jackson were confronted with th ...