域内工具的使用

渗透测试 工具
1

Adfind 的使用

Adfind 是一个使用 C++ 语言写的活动目录查询工具。

使用结构如下:

Adfind.exe [switches] [-b basedn] [-f filter] [attr list]

查询域信任关系

Adfind.exe -f 0bjectclass=trusteddomain -dn

查询域控

  1. 查询域控名称
Adfind.exe -sc dclist
  1. 查询域控版本
Adfind.exe -schema -s base objectversion

域控版本信息字段为 69,对应的操作系统是 Windows Server 2012 R2

图片-zssa.png

机器相关查询命令

  1. 查询域中所有机器
  • 查询域中所有机器,只显示 DN
Adfind.exe -f "objectcategory=computer" dn
  • 查询域中所有机器,显示机器名和操作系统
Adfind.exe -f "objectcategory=computer" name operatingSystem
  1. 查询域中活跃机器
Adfind.exe -sc computers_active dn
  1. 查询指定机器的详细信息
Adfind.exe -f "&(objectcategory=computer)(name=ws08)"

用户相关的查询命令

  1. 查询域管理员
Adfind.exe -b "CN=Domain Admins, CN=Users, DC=billow, DC=com" member
  1. 查询域内所有用户
Adfind.exe -b dc=billow,dc=com -f "(&(objectCategory=person)(objectClass=user))" -dn
  1. 查询域内指定用户
Adfind.exe -sc u:test
  1. 查询指定 sid 值对应的用户
Adfind.exe -sc adsid:S-1-5-21-3052649342-2458968148-2034925548-1104
  1. 查询域内指定用户属于哪些组
Adfind.exe -s subtree -b CN=administrator,CN=users,DC=billow,DC=com memberOf
  1. 递归查询指定用户属于哪些组
Adfind.exe -s subtree -b dc=billow,dc=com -f "(member:INCHAIN:="CN=administrator,CN=users,DC=billow,DC=com")" -bit -dn
  1. 查询域内开启了不需要域认证选项的用户
Adfind.exe -f "useraccountcontrol:1.2.840.113556.1.4.803:=4194304" -dn
  1. 查询users容器下所有对象
Adfind.exe -users -dn

组相关的查询命令

  1. 查询域内所有全局组
Adfind.exe -f "(grouptype=-2147483646)" -dn
  1. 查询域内所有通用组
Adfind.exe -f "(grouptype=-2147483640)" -dn
  1. 查询域内所有的本地域组
Adfind.exe -f "(|(grouptype=-2147483644)(grouptype=-2147483643))" -dn
  1. 查询指定组包含哪些对象
Adfind.exe -s subtree -b "CN=Domain Admins,CN=Users,DC=billow,DC=com" member

委派相关的查询命令

  1. 非约束性委派

查询配置了非约束性委派的主机和服务账户的命令如下

  • 查询配置了非约束性委派的主机
Adfind.exe -b "DC=billow,DC=com" -f "(&(samAccountType=805306369)(userAccountControl:1.2.840.113556.1.4.803:=524288))" -dn
  • 查询配置了非约束性委派的服务账户
Adfind.exe -b "DC=billow,DC=com" -f "(&(samAccountType=805306368)(userAccountControl:1.2.840.113556.1.4.803:=524288))" -dn
  1. 约束性委派

查询配置了约束性委派的主机和服务账户的命令如下

  • 查询配置了约束性委派的主机,并可以看到被委派的SPN
Adfind.exe -b "DC=billow,DC=com" -f "(&(samAccountType=805306369)(msds-allowedtodelegateto=*))" msds-allowedtodelegateto
  • 查询配置了约束性委派的服务账户,并可以看到被委派的SPN
Adfind.exe -b "DC=billow,DC=com" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" msds-allowedtodelegateto

其他

  1. 查询域内具备 DCSync 权限的用户
  • 查询域中具有复制目录权限的用户
Adfind.exe -s subtree -b "DC=billow,DC=com" nTsecurityDescriptor -sddl+++ -sddlfilter ;;;"Replicating Directory Changes";; -recmute -resolvesids
  • 查询域中具有复制目录所有项权限的用户
Adfind.exe -s subtree -b "DC=billow,DC=com" nTsecurityDescriptor -sddl+++ -sddlfilter ;;;"Replicating Directory Changes All";; -recmute -resolvesids
  1. 查询域的 ACL
Adfind.exe -b DC=billow,DC=com -sc getacl
  1. 查询域内所有 GPO
Adfind.exe -sc gpodmp
  1. 查询域内高权限的 SPN
Adfind.exe -b "DC=billow,DC=com" -f "&(servicePrincipalName=*)(admincount=1)" servicePrincipalName
  1. 查询域内所有邮箱
Adfind.exe -f "main=*" mail -s Subtree -recmute -csv mobile
  1. 查询域内所有手机号
Adfind.exe -f "telephonenumber=*" telephonenumber -s Subtree -recmute -csv mobile