數(shù)據(jù)庫數(shù)據(jù)交互，域控制器提供了幾個選項來轉(zhuǎn)換為它們支持的各種協(xié)議/服務：

LDAP 端口：

LDAP 定義了一種查詢語法，允許您過濾需要在數(shù)據(jù)庫中檢索/編輯的對象。您可以按對象的屬性過濾對象。例如，要獲取具有成員的域組，您可以使用以下查詢(&(objectsclass=group)(members=*))

除了過濾器之外，LDAP 還允許您指定要為每個對象檢索的屬性，例如名稱。如果您需要從 Active Directory 獲取信息的示例，您應該查看 LDAP wiki

幾乎可以使用 LDAP 檢索 Active Directory 數(shù)據(jù)庫中的任何對象和屬性。高度敏感的屬性例外，例如用戶憑據(jù)。

?Windows 工具（Powerview ，ADExplorer）都使用 LDAP 。如果沒有工具，你始終可以使用 Powershell 使用 .NET 查詢 LDAP。

Linux 可以使用（Idapsearch,Idapmodify)工具。

當您需要從 Active Directory 獲取信息時，例如列出用戶或類似的東西，您可以使用 LDAP，但它也允許您修改對象，因此您也可以使用它來將用戶添加到組等。

ADWS：

?Windows Server 2008 R2 中 LDAP 的替代方案，Microsoft 引入了ADWS（Active Directory Web Services），這是一種基于 SOAP 消息查詢和管理域?qū)ο蟮膮f(xié)議。

它與 LDAP 過濾器兼容，因此您可以執(zhí)行非常具體的查詢并僅獲取您需要的屬性。事實上，當使用 ADWS 時，域控制器會執(zhí)行內(nèi)部 LDAP 查詢來檢索結(jié)果。ADWS 是 ActiveDirectory Powershell 模塊使用的協(xié)議。

許多其他協(xié)議允許您從數(shù)據(jù)庫中檢索信息：

• 主要用于解析計算機 IP 地址的 DNS 協(xié)議也從數(shù)據(jù)庫中檢索信息；

• SAMR（Security Account Manager Remote）協(xié)議允許您查詢和編輯有關用戶和組的基本信息。這是諸如net user /domain;之類的命令使用的命令。

• 域控制器使用 DRSR（遠程目錄復制服務）協(xié)議來同步數(shù)據(jù)庫。甚至可以使用此協(xié)議獲取用戶憑據(jù)（如果您有足夠的權(quán)限），并且正是此協(xié)議用于執(zhí)行攻擊dcsync；

• Kerberos 身份驗證協(xié)議還使用數(shù)據(jù)庫根據(jù)請求的服務生成必要的票證。此外，kpasswdKerberos 使用該服務（端口 464）更改用戶密碼；

• Netlogon計算機用來驗證域用戶的協(xié)議。例如，由 NTLM 身份驗證使用。此外，它是受 Zerologon 漏洞影響的協(xié)議。

Active Directory 中的安全：

地址解析 用戶和機器解析其他計算機的地址以便與它們建立連接的能力。如果攻擊者可以控制地址解析，他們就可以執(zhí)行中間人攻擊或強制用戶將其憑據(jù)發(fā)送到攻擊者控制的計算機。

身份驗證 識別訪問服務計算機的用戶的能力。如果攻擊者可以獲取用戶的憑據(jù)或繞過身份驗證，則他們可以將自己標識為用戶并代表他們執(zhí)行操作。

授權(quán) 定義用戶可以執(zhí)行的操作的能力。如果用戶的權(quán)限配置不正確，用戶可以執(zhí)行特權(quán)操作。 讓我們討論這些基礎知識以及它們是如何在 Active Directory 中實現(xiàn)的。

地址解析

地址解析是高度相關的，因為如果用戶/程序可以被誘騙連接到錯誤的機器，則可以執(zhí)行許多攻擊

Person-in-The-Middle (PitM)：這允許攻擊者攔截受害者的消息并讀取/操作受害者發(fā)送或接收的信息（如果未正確加密/簽名）。

NTLM Relay：攻擊者可以使用受害者的 NTLM 身份驗證并將受害者重定向到正確的服務器以獲取對其的訪問權(quán)限。

NTLM：即使不能通過NTLM認證，也可以嘗試破解NTLM哈希，找回用戶密碼。

機器使用三種類型的地址：

MAC（媒體控制訪問） MAC地址 是唯一標識世界上每臺計算機（特別是每臺計算機網(wǎng)卡）的地址。MAC地址用于在數(shù)據(jù)鏈路層以以太網(wǎng)協(xié)議發(fā)送消息，它鏈接同一網(wǎng)絡上的計算機。每個 NIC 都有一個與之關聯(lián)的唯一 MAC 地址，從而可以在網(wǎng)絡上對其進行識別。通常 MAC 地址保持不變，但可以更改。MAC 地址由 6 個字節(jié)組成，例如 01:df:67:89:a4:87，其中前 3 個字節(jié)表示 MAC 供應商，后 3 個字節(jié)是來自該供應商的每個 NIC 的唯一標識符。

IP 地址 IP 地址是 IP 協(xié)議用來允許不同網(wǎng)絡上的計算機之間進行通信的地址。與 MAC 地址不同，IP 地址不在 NIC 上配置，而必須由外部實體使用 DHCP 等協(xié)議或通過設置靜態(tài) IP 地址來設置。因此，計算機可以隨時更改其 IP 地址。導航網(wǎng)絡時，IP 地址必須映射到 MAC 地址，以便允許在轉(zhuǎn)發(fā)數(shù)據(jù)包的各種網(wǎng)絡內(nèi)進行通信。為此，使用了 ARP 協(xié)議。IP 地址有兩個版本：IPv4，由 4 個字節(jié)（32 位）組成，例如23.78.167.99，和 IPv6，由 16 個字節(jié)組成，例如2001:db8:85a3:8d3:1319:8a2e:370:7348. 通常使用 IPv4。

主機名 由于 IP 地址很難記住，因此計算機也被賦予了一個更人性化的名稱，例如pepe-machine，稱為主機名。DNS但是，由于計算機需要 IP 地址進行通信，因此您可以使用、或NetBIOS等協(xié)議將主機名與 IP 地址相關聯(lián)。

如何找到正確的通信地址：

host - IP ：?計算機必須能夠?qū)C器的主機名映射到其正確的 IP 地址。有兩種策略可以做到這一點： 請求中央服務器進行主機名解析，這是 DNS 使用的方法。如果攻擊者可以成為中央服務器，他可以匹配主機名來選擇地址。 向?qū)Φ确桨l(fā)送帶有主機名的廣播請求，要求具有給定主機名的計算機識別自己。NetBIOS、LLMNR 或 mDNS 等協(xié)議使用這種方法，網(wǎng)絡上的任何計算機都可以響應請求，因此攻擊者可以偵聽掛起的請求并通過將自己標識為目標計算機來響應它們。

IP-MAC ： 一旦一個IP地址被識別出來，計算機需要知道這個IP地址屬于哪臺計算機（網(wǎng)卡），所以它們會詢問它的MAC地址。為此，他們使用 ARP 協(xié)議，該協(xié)議通過向內(nèi)部網(wǎng)絡發(fā)送廣播請求并等待正確的主機來識別自己來工作。攻擊者可以通過將自己標識為接收連接的目標來響應請求。

IP ：要使用 IP 地址并能夠找到中央服務器來解析 IP 地址，必須配置計算機。此配置可以在每臺計算機上手動完成，也可以使用諸如 DHCP 之類的協(xié)議，其中服務器為網(wǎng)絡上的計算機提供配置選項。但是，由于計算機在與 DHCP 服務器通信時不會配置任何內(nèi)容，因此它們必須通過發(fā)送任何其他計算機都可以響應的廣播請求來盲目地尋找它。因此，攻擊者有可能通過響應這些請求并為客戶端提供虛假配置設置來錯誤配置它，通常指向攻擊者控制的 DNS 服務器。 那么，讓我們看看如何攻擊 Active Directory 和其他計算機網(wǎng)絡中的地址解析。

ARP（地址解析協(xié)議）是網(wǎng)絡上廣泛使用的鏈路層協(xié)議，它允許您映射計算機的 IP 地址與其 MAC 地址之間的關系：

客戶端機器向本地以太網(wǎng)網(wǎng)絡發(fā)送一個 ARP 廣播請求，請求具有目標 IP 地址的網(wǎng)絡。然后，具有該 IP 地址的計算機應使用其 MAC 地址進行響應。最后，客戶端將應用程序包發(fā)送到這個以太網(wǎng)地址。

ARP欺騙攻擊使用：ettercap,bettercap,arpspoof,arplayer 等

ARP掃描是查詢網(wǎng)絡上的所有 IP 地址以檢查 ARP 響應并查看哪些主機處于活動狀態(tài)。

DHCP

DHCP（動態(tài)主機配置協(xié)議）是一種有助于為網(wǎng)絡上的計算機配置動態(tài) IP 地址的協(xié)議。它是一種通過 UDP 運行的應用程序協(xié)議。它使用67/UDP服務器上的一個端口，并要求客戶端從該端口發(fā)送消息68/UDP。

DHCP 端口，在 DHCP 中，新的網(wǎng)絡客戶端會尋找 DHCP 服務器來獲得正確的配置，從而允許它們與網(wǎng)絡的其余部分進行通。此設置過程分為四個步驟：

• 服務器發(fā)現(xiàn)：客戶端通過向該地址發(fā)送廣播請求255.255.255.255或網(wǎng)絡廣播地址來請求IP地址以聯(lián)系DHCP服務器；

• 提供租用 IP 地址：服務器使用它提供給客戶端的 IP 地址以及其他配置選項進行響應；

• IP租用請求：客戶端收到提議的IP地址并發(fā)送消息請求它；

• IP地址租用確認：服務器確認客戶端可以使用選擇的IP地址。此外，它還包括幾個配置選項，例如 IP 地址更新時間。

這些階段通常被縮寫DORA（發(fā)現(xiàn)、提供、請求、確認）并在計算機聯(lián)機時運行。

DHCP 配置也可以dhclient在 Linux 和ipconfig /renewWindows 上使用命令手動啟動。

DHC 選項 要檢查網(wǎng)絡 DHCP 服務器提供的選項，在 Windows 上，您需要使用 .檢查網(wǎng)絡接口的配置（如果配置為使用 DHCP）ipconfig /all。但是，在Linux上，不同的DHCP選項配置不同的文件，例如要檢查DNS服務器應該檢查/etc/resolv.conf或用于ip route獲取默認網(wǎng)關。

Windows 網(wǎng)絡接口設置可以使用dncplayer,nmap,brodcast0dhcp-discover 腳本檢查 DHCP 服務器提供的選項。root/admin但是，由于必須使用端口，因此需要特權(quán)68。 使用 Nmap 枚舉 DHCP 選項除枚舉外，DHCP 協(xié)議還可用于執(zhí)行多種攻擊：

• DHCP 短缺/耗盡；

• 假DHCP服務器。

假 DHCP 服務器 由于 DHCP 的分散性質(zhì)，網(wǎng)絡上的任何機器都可以扮演 DHCP 服務器的角色，響應客戶端發(fā)現(xiàn)/請求消息。因此，攻擊者可以創(chuàng)建一個虛假的 DHCP 服務器來在客戶端上設置自定義配置。

DHCP 服務器配置的選項如下：

• 網(wǎng)關/路由器

• DNS 服務器

• NetBIOS/WINS 名稱服務器

• Web 代理自動發(fā)現(xiàn)協(xié)議

因此，客戶端可能被錯誤地配置為向偽造的 DNS 服務器發(fā)送 DNS 查詢，這可能會將它們重定向到由攻擊者控制的偽造計算機或域。yersinia ,dhcplayer 工具

DHCP Sucking DHCP Sucking 攻擊是一種 DOS 攻擊，其中惡意客戶端請求 DHCP 服務器提供的所有可用 IP 地址。所以合法的客戶端無法獲得IP地址，所以他們必須保持離線。可以使用dhcpstarv,yersinia,dhcplayer等工具，dhcpstarv 進行 DHCP 耗盡攻擊

DHCP 從客戶端的角度來看，DHCP 也很有趣，因為它可以讓您獲得有關環(huán)境的有用信息，這正是它的用途。可以向網(wǎng)絡發(fā)送消息DISCOVER to并檢查接收到的信息。這是一種從未經(jīng)身份驗證的位置獲取信息的方法，例如域或服務器地址，這些位置通常是域控制器。

在 Active Directory 中，您可以使用 DHCP 服務器根據(jù) DHCP 請求中指定的客戶端主機名創(chuàng)建自定義 DNS A 記錄。這非常有用，因為執(zhí)行此操作不需要身份驗證/授權(quán)。

總結(jié)

以上是生活随笔為你收集整理的Active Directory 域滲透 （如何访问数据库？）的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。