当您可能无法访问系统的 RDP、防御者正在监控 PowerShell 的使用以及您需要通过远程访问木马 (RAT) 执行 AD 枚举时,可靠可靠的 CMD 非常方便。在网络钓鱼有效负载中嵌入几个简单的 AD 枚举命令甚至会有所帮助,以帮助您获取可以帮助您进行最终攻击的重要信息。
CMD 有一个内置命令,我们可以使用它来枚举有关 AD 的信息,即 net。net 命令是一个方便的工具,用于枚举有关本地系统和 AD 的信息。我们将看看我们可以从这个位置列举出一些有趣的事情,但这不是一个详尽的列表CMD 有一个内置命令,我们可以使用它来枚举有关 AD 的信息,即 net。net 命令是一个方便的工具,用于枚举有关本地系统和 AD 的信息。我们将看看我们可以从这个位置列举出一些有趣的事情,但这不是一个详尽的列表。
1. 常见枚举命令
Users 用户
1 |
|
net user /domain 命令用于查询域内的用户账户。只有当计算机加入域并且能够与域控制器通信时,才会有效。net user 命令不带 /domain 参数时,它会列出本地计算机上的用户账户。
- 域用户不一定是
Domain Users组的成员:虽然大部分通过net user /domain列出的用户都会是Domain Users组的成员,但Domain Users组中并不包括所有的用户,有时某些用户可能会被加入到 特定的组,而不是默认的Domain Users组中。这样,它们可能出现在net user /domain的列表中,但不在Domain Users组中。 - 不会列出后缀是$的用户
这将为我们返回所有 AD 用户,并有助于确定域的大小以进行进一步的攻击。我们还可以使用此子选项来枚举有关单个用户帐户的更多详细信息:
1 | net user zoe.marshall /domain |
**注意:如果用户只是少数 AD 组的一部分,则此命令将能够向我们显示组成员身份。但是,通常,在超过十个组成员身份之后,该命令将无法列出所有成员身份。
Groups 组
我们可以使用 net 命令通过使用 group 子选项来枚举域的组:
1 | net group /domain |
这些信息可以帮助我们找到目标执行的特定目标群体。我们还可以通过在同一命令中指定组来枚举更多详细信息,例如组的成员身份:
1 | net group "Tier 1 Admins" /domain |
Password Policy 密码策略
可以使用 net 命令通过使用 accounts 子选项来枚举域的密码策略:
1 | net accounts /domain |
- 保留的密码历史记录的长度。这意味着用户必须提供多少个唯一密码才能重复使用旧密码。
- 错误密码尝试的锁定阈值以及帐户将被锁定的时间长度。
- 密码的最小长度。
- 允许密码达到的最长期限,指示是否必须定期轮换密码。
如果我们想对我们现在列举的其他用户帐户进行额外的密码喷洒攻击,这些信息可以使我们受益。它可以帮助我们更好地猜测在攻击中应该使用哪些单一密码,以及在冒着锁定帐户的风险之前我们可以运行多少次攻击。但是,应该注意的是,如果我们执行盲密码喷射攻击,我们无论如何都可能会锁定帐户,因为我们没有检查以确定该特定帐户在被锁定之前还剩下多少次尝试。
2. Benefits 好处
- 不需要额外的工具或外部工具,这些简单的命令通常不会受到 Blue 团队的监控。
- 我们不需要 GUI 来执行此枚举。
- .
VBScript 和其他通常用于网络钓鱼有效负载的巨集语言本身支持这些命令,因此在制作更具体的有效负载之前,它们可用于枚举有关 AD 域的初始信息。
Drawbacks 缺点
-net 命令必须从已加入域的计算机上执行。如果计算机未加入域,它将默认为 WORKGROUP 域。
-
net 命令可能无法显示所有信息。例如,如果用户是 10 个以上组的成员,则并非所有这些组都会显示在输出中。
