[内网渗透]域账号与机器账号

域内用户查询

当我们拥有一个域用户权限的账号的,可以通过以下两种方式对域内用户进行枚举

  • 通过SAMR 协议查询
  • LDAP 查询

SAMR并不是一种协议,而是一个RPC(想知道这个是啥玩意的人儿已经去百度了,说实话我也不太清楚)接口,我们平时使用的net user /domain就是使用samr 进行查询的。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gyBxiSpE-1615860961591)(2833AAA239C24A9F8B6ADEE6A99A6BFE)]

域用户存储于活动目录数据库里面,对其他用户可见。可以通过Ldap 去查询。
过滤语法如下

(&(objectCategory=person)(objectClass=user))
1

机器用户

默认情况底下,加入域的机器默认在CN=Computer这个容器里面,域控默认在Domain Controllers这个OU里面。有些域内会通过redircmp进行修改
在这里插入图片描述

机器用户跟system 用户的关系

考虑到这样一个场景,如果拿到一台域内机器,然后发现没有域内用户。 这个时候有很多人用mimikatz 抓一下,没抓到域用户,就束手无策了。

我们随便点开一台Domain Computer,我们看一下他的对象类
在这里插入图片描述

发现他是computer 类的实例。而computer 类的user 类的子类。域用户是user类的实例。之前我们说过类是属性的集合。子类继承了父类的所有属性,因此域用户该有的属性,机器用户都有,甚至我们可以说,机器用户就是一种域用户。
那回到之前的那个问题,如果拿到一台域内机器,然后发现没有域内用户的情况。我们上面说了,机器用户其实就是一个域用户,那我们怎么使用这个机器用户呢。其实本地用户SYSTEM就对应于域内的机器用户,在域内的用户名就是机器名+, 比 如 w i n 7 , 他 的 机 器 名 是 W I N 7 , 那 他 在 域 内 的 登 录 名 就 是 w i n 7 ,比如win7,他的机器名是WIN7,那他在域内的登录名就是win7,比如win7,他的机器名是WIN7,那他在域内的登录名就是win7。

在这里插入图片描述

所以我们可以将当前用户提到system(非管理员需要配合提权漏洞,管理员组的非administrators需要bypassuac,administrator提到system。这个网上有很多方法,psexec,mimikatz等等)。就可以在域内充当机器用户了。

域用户账户与机器用户的对应关系

如果我们是自己搭建过域环境的话,应该会知道,默认情况底下,域用户是能够登录域内的任何一台机器用户的。我们在这里面探究一下原因。
在域成员机器的本地安全策略里面,默认情况底下,本地用户组允许本地登录。其中包括Users组。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-GfcTbIyH-1615860961595)(DBC3C17C00354CE5989C8B6F7CD5C964)]

其中Users组包括Domain Users。而域内用户默认都在Domain Users组里面。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MY7YLYRt-1615860961596)(143DD32A0FAC47369548936C4A726925)]

因为域用户默认都在Domain Users组里面,而Domain Users在Users组里面。默认情况底下Users组内的成员允许本地登录。所以域内成员默认都能登录域内任何一台机器。

参考

https://daiker.gitbook.io/windows-protocol/ldap-pian/10

THE END
喜欢就支持一下吧
点赞1230
分享
评论 抢沙发
Admin的头像-Se37一安全动态分享

昵称

取消
昵称表情代码