企業域安全設置
企業域安全設置
在針對大型企業的域滲透過程會發現,普通域用戶無法執行類似于net group "domain admins" /domain 和 net group "domain controllers" /domain的命令查詢域管理員和域控等敏感組,會提示發生系統錯誤拒絕訪問。這主要是由于目標企業針對域做了安全加固,設置了ACL限制了普通域用戶對敏感用戶組的查詢。繞過方法也很簡單,條條大道通羅馬,可以換個方式來進行查詢,可以使用powershell或者adfind工具換個方式來進行查詢。
GREATER SNOW
配置ACL禁止普通域用戶對敏感組的讀取
這里的敏感組包括但不限于如下:
- domain admins
- domain controllers
- enterprise admins
- domain users
- domain computers
這里我們假設有一個低權限的組,該OU內有test2和hack用戶。現在要禁止該組內的所有用戶對以上幾個組的查詢。
我們這里以domain admins組為例設置。
首先,這里查看——>高級功能
從Users里面找到Domain Admins組,右鍵——>屬性
安全——>高級
點擊添加
這里主體我們選擇該低權限組,類型選擇拒絕,然后確定。應用即可。
其他幾個組的配置一樣。
效果如圖,通過如下命令查詢直接提示拒絕訪問。
通過adfind查詢如下報錯
通過ad explorer查詢如下報錯。
繞過辦法
GREATER SNOW
Domain Admins、Enterprise Admins和Domain Users
針對Domain Admins的繞過,使用PowerView.ps1腳本的Get-Netuser方法,該方法會查詢域內所有用戶的詳細信息,通過查詢出的信息的memberof屬性可以看到用戶輸入哪些組。全局過濾一下Domain Admins和Enterprise Admins即可。
Import-Module .\PowerView.ps1
Get-Netuser
或者使用adfind進行查詢
#查詢域管理員組
adfind.exe -f "memberof=CN=Domain admins,CN=Users,DC=xie,DC=com" -dn
#查詢企業管理員組
adfind.exe -f "memberof=CN=enterprise admins,CN=Users,DC=xie,DC=com" -dn
GREATER SNOW
domain controllers
針對Domain Admins的繞過,使用PowerView.ps1腳本的Get-NetDomainController 方法
Import-Module .\PowerView.ps1
Get-NetDomainController
或者使用adfind進行查詢
#查詢域控名稱
AdFind.exe -sc dclist
#查詢域控版本
AdFind.exe -schema -s base objectversion
GREATER SNOW
domain computers
針對Domain computers的繞過,使用PowerView.ps1腳本的Get-NetComputer方法
Import-Module .\PowerView.ps1
Get-NetComputer
或者使用adfind進行查詢
#查詢域中所有機器,只顯示dn
AdFind.exe -f "objectcategory=computer" dn
#查詢域中所有機器,顯示機器名和操作系統
AdFind.exe -f "objectcategory=computer" name operatingSystem
END
