Adfind下载&相关命令应用&委派

已于 2025-04-08 16:01:48 修改
阅读量881 收藏 26
点赞数 15
CC 4.0 BY-SA版权
分类专栏: 内网学习 文章标签: linux 运维 服务器 面试 HW
于 2025-04-07 19:07:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/kui576/article/details/147046146

文章目录


Adfind是一款在域环境下非常强大的信息搜集工具,支持在域环境下多种信息的查询以及筛选,是内网渗透中的一款利器。
下载地址,该地址下载工具不需要压缩包密码

Adfind下载

https://github.com/mai-lang-chai/AD-Penetration-Testing-Tools/blob/master/AdFind.zip

使用

adfind 工具使用的结构如下:其中 switches 是连接参数,-b 是指定要查询的根节点 basedn,-f 是指定过滤的条件,attr 是指定要显示的属性。

AdFind.exe [switches] [-b basedn] [-f filter] [attr list]

[switches]

该选项是连接参数,如果adfind在域内主机上运行,则无需该选项,如果是域外机器上执行,则需要指定域控和提供一个有效的域用户和密码

./Adfind.exe -h ip:端口 -u tmac\administrator -up admin@123 -sc dclist

#-h: ip及端口  (ip:端口)
#-u:提供用户名
#-up:提供密码
#-sc:查询域控列表

在这里插入图片描述

[-b basedn]

该选项指定要查询的根节点basedn

  • 查询 dn dc=tmac,dc=com下的所有机器
Adfind -b dc=tmac,dc=com -f "objectcategory=computer" dn
  • 查询 dn CN=Computers,DC=xie,DC=com 下的所有机器
Adfind.exe -b CN=Computers,DC=tmac,DC=com -f "objectcategory=computer" dn

[-f filter]

该选项指定查询的过滤条件,使用-f参数过滤不同的查询条件

  • 查询域内所有机器
Adfind.exe -f "objectcategory=computer" dn

在这里插入图片描述

  • 查询域内所有用户
AdFind.exe -f "(&(objectCategory=person)(objectClass=user))" dn

在这里插入图片描述

[attr list]

该选项用于指定查询出来的结果显示哪个属性。当不使用该参数时,会显示查询对象的所有属性

  • 查询域内所有机器,显示所有机器的所有属性
Adfind.exe -f "objectcategory=computer"

在这里插入图片描述

  • 查询域内所有机器,显示所有机器的dn属性
Adfind.exe -f "objectcategory=computer" dn

在这里插入图片描述

  • 查询域内所有机器,显示所有机器的name属性
Adfind.exe -f "objectcategory=computer" name

在这里插入图片描述

查询域控

查询域控名称

AdFind.exe -sc dclist

在这里插入图片描述

查询域控版本

 AdFind.exe -schema -s base objectversion

在这里插入图片描述

  • 域控版本对应的数字
Windows 2000 Server operating system: 13
Windows Server 2003 operating system: 30
Windows Server 2003 R2 operating system: 31
Windows Server 2008 operating system (AD DS): 44
Windows Server 2008 R2 operating system (AD DS): 47
Windows Server 2012 operating system (AD DS): 56
Windows Server 2012 R2 operating system (AD DS): 69
Windows Server 2016 operating system (AD DS): 87
Windows Server v1709 operating system (AD DS): 87
Windows Server v1803 operating system (AD DS): 88
Windows Server v1809 operating system (AD DS): 88
Windows Server 2019 operating system (AD DS): 88
Active Directory Application Mode (ADAM): 30
Windows Server 2008 (AD LDS): 30
Windows Server 2008 R2 (AD LDS): 31
Windows Server 2012 (AD LDS): 31
Windows Server 2012 R2 (AD LDS): 31
Windows Server 2016 (AD LDS): 31
Windows Server v1709 (AD LDS): 31
Windows Server v1803 (AD LDS): 31
Windows Server v1809 (AD LDS): 31
Windows Server 2019 (AD LDS): 31

委派相关

非约束委派

原理:

机器A(域控)访问具有非约束委派权限的机器B的服务,会把当前认证用户(域管用户)的的TGT放在ST票据中,一起发送给机器B,机器B会把TGT存储在lsass进程中以备下次重用。从而机器B就能使用这个TGT模拟认证用户(域管用户)访问服务。

利用场景

攻击者拿到了一台配置非约束委派的机器权限,可以诱导域管来访问该机器,然后得到管理员的TGT,从而模拟域管用户。

相关命令

  • 查询域中配置非约束性委派的主机(机器账户)
AdFind.exe -b "DC=tmac,DC=com" -f "(&(samAccountType=805306369)(userAccoun tControl:1.2.840.113556.1.4.803:=524288))" -dn
  • 查询域中配置非约束性委派的服务账户
AdFind.exe -b "DC=tmac,DC=com" -f "(&(samAccountType=805306368)(userAccoun tControl:1.2.840.113556.1.4.803:=524288))" -dn

约束性委派

原理:

由于非约束委派的不安全性,微软在windows server 2003中引入了约束委派,对Kerberos协议进行了拓展,引入了SService for User to Self (S4U2Self)和 Service for User to Proxy (S4U2proxy)。

利用场景:

如果攻击者控制了服务A的账号,并且服务A配置了到域控的CIFS服务的约束性委派。
则攻击者可以先使用S4u2seflt申请域管用户(administrator)访问A服务的ST1,然后使用S4u2Proxy以administrator身份访问域控的CIFS服务,即相当于控制了域控。

相关命令

  • 查询域中配置了约束性委派的主机,并可以看到被委派的SPN
AdFind.exe -b "DC=tmac,DC=com" -f "(&(samAccountType=805306369)(msds-allow edtodelegateto=*))" msds-allowedtodelegateto
  • 询域中配置了约束性委派的服务账户,并可以看到被委派的 SPN
AdFind.exe -b "DC=tmac,DC=com" -f "(&(samAccountType=805306368)(msds-allow edtodelegateto=*))" msds-allowedtodelegateto

基于资源的非约束性委派

原理:

基于资源的约束委派(RBCD)是在Windows Server 2012中新加入的功能,与传统的约束委派相比,它不再需要域管理员权限去设置相关属性。RBCD把设置委派的权限赋予了机器自身,既机器自己可以决定谁可以被委派来控制我。也就是说机器自身可以直接在自己账户上配置msDS-AllowedToActOnBehalfOfOtherIdentity属性来设置RBCD。
所以核心就是谁或什么权限能修改msDS-AllowedToActOnBehalfOfOtherIdentity

简单的讲,也就是如果攻击者能够在data的机器上设置msDS-AllowedToActOnBehalfOfOtherIdentity属性为ServiceA,
也就允许ServiceA利用s4u2self协议代表其他用户身份来访问data的话,那我们就可以做到横向移动及提权等操作。

利用

资源约束委派利用分类:
1、通过管理主机加入域的用户拿下主机
2、已知Acount Operators组用户拿下主机
3、结合HTLM Relay攻击拿下主机(CVE-2019-1040)

相关命令

  • 查询域中配置基于资源的约束性委派主机
AdFind.exe -b "DC=tmac,DC=com" -f "(&(samAccountType=805306369)(msDS-Allo wedToActOnBehalfOfOtherIdentity=*))" msDS-AllowedToActOnBehalfOfOtherIdentit y
  • 查询域中配置基于资源的约束性委派的服务账户
AdFind.exe -b "DC=tmac,DC=com" -f "(&(samAccountType=805306368)(msDS-Allo wedToActOnBehalfOfOtherIdentity=*))" msDS-AllowedToActOnBehalfOfOtherIdentit y

这位师傅写的更全面:https://blog.youkuaiyun.com/weixin_45910629/article/details/138755006

域查询工具Adfind的用法
谢公子的博客
07-06 7078
使用: AdFind.exe [switches] [-b basedn] [-f filter] [attr list] -b:指定要查询的根节点 -f:LDAP过滤条件 attr list:需要显示的属性 例如: #查看域xie.com下所有的主机的所有属性 Adfind.exe -b dc=xie,dc=com -f "objectcategory=computer" ...
红队内网攻防渗透:内网渗透之内网对抗:横向移动篇&Kerberos&委派安全&非约束系&约束系&RBCD资源系&Spooler利用
HACKONE的博客
06-23 533
机器A(域控)访问具有非约束委派权限的机器B的服务,会把当前认证用户(域管用户)的的TGT放在ST票据中,一起发送给机器B,机器B会把TGT存储在lsass进程中以备下次重用。简而言之,非约束委派是指用户账户将自身的TGT转发给服务账户使用。委派是一种域内应用模式,是指将域内用户账户的权限委派给服务账号,服务账号因此能以用户的身份在域内展开活动(请求新的服务等),类似于租房中介房东的关系去理解。攻击者拿到了一台配置非约束委派的机器权限,可以诱导域管来访问该机器,然后得到管理员的TGT,从而模拟域管用户。
Adfind使用
qq_18811919的博客
02-18 1352
讲述Adfind使用方式并且文章内提供了38种快速查询用以对域环境的快速了解。
Adfind的使用
2301_76786857的博客
04-28 1127
Adfind是一个使用C++语言写的活动目录查询工具,它允许用户轻松地搜索各种活动目录信息。它不需要安装,因为它是基于命令行的。它提供了许多选项,可以细化搜索并返回相关细节。
内网工具ADFind的使用
weixin_45910629的博客
05-12 1944
ADFind是一款C++语言编写的域中信息查询工具,可以在域中任何一台主机上使用,在内网渗透中的使用率较高下载地址,该地址下载工具不需要压缩包密码。
adsi与 adfind工具
weixin_33701251的博客
11-16 291
Do you need to quickly find the GUID id from the Active Directory without have to write some complex code just to get the GUID id. Solution 1:You can use Windows Server 2003 AD...
非约束委派攻击原理与利用
渗透之路,攻防之间皆学问
04-07 5740
在Kerberos认证体系中,用户通过票据(如TGT和ST)来访问服务。TGT(Ticket-Granting Ticket)是用户向密钥分发中心(KDC)请求并获得的,用于后续请求服务票据(ST)。ST则是用户访问特定服务时所需的票据。
红队内网攻防渗透:内网渗透之内网对抗:信息收集篇&自动项目&本机导出&外部打点&域内通讯&Pillager&BloodHound
HACKONE的博客
06-22 365
如果域内扫描工具代理到本地就需要绑定host去扫描,不然走dns解析的解析不到这个内网的域控god.org。searchall64.exe browser -b 指定的浏览器或者all。searchall64.exe search -p 指定路径。个人用机的角色web服务 数据库服务器角色。2、自己创建文件记录。3、某些工具自动存储。
43、Active Directory 权限管理:工具与操作指南
最新发布
q6r7s8t9的博客
06-29 1
本文详细介绍了在 Active Directory 环境中进行权限管理的多种工具和操作方法,包括使用 ADFind 报告权限、利用 DSRevoke 撤销权限、通过 Dsacls 管理权限分配与撤销,以及重置权限为架构默认值等。文章还总结了权限管理的最佳实践、常见问题与解决方案,旨在帮助用户提升 Active Directory 权限管理的安全性与效率。
42、优化 Active Directory 权限管理:从定制到评估的全面指南
q6r7s8t9的博客
06-28
本文详细介绍了如何优化 Active Directory 的权限管理,包括定制 Delegwiz.inf 文件以扩展委派控制向导的功能,修改 Dssec.dat 文件以显示隐藏的权限,以及使用多种工具(如 Dsacls、ACLDiag 和 ADFind)对权限进行评估、报告和撤销。文章还提供了操作流程图、注意事项和最佳实践,帮助企业更好地管理和维护 Active Directory 环境的安全性和合规性。
adfind admod
12-21
不错的ad工具 现在官网已经被屏蔽了,不知道什么原因。
获取AD域数据的工具
02-15
获取AD域数据的工具,方便开发查看数据的正确性,可操作每个点属性
ADexplorer用来查看AD的工具
12-04
可以通过这个工具很好的查看AD,不需登陆到AD服务器
windows-AD管理工具-AdFind.exe
09-03
ad管理工具
ad运行检测工具可以检查AD运行是否有问题
04-25
检查AD域同步是否有误,很好用的微软工具,按照教程使用。
Adfind域中信息查询工具
weixin_42478365的博客
01-20 1799
网络安全工具
Adfind域查询工具的使用方法与编程
SVIPCODE的博客
09-12 373
如果你想在自己的程序中使用Adfind,可以通过调用命令行来执行Adfind查询,并通过解析命令行输出来获取结果。Adfind是由Joe Richards开发的一款免费的命令工具,它可以用于查询和操作Windows活动目录。Adfind提供了丰富的查询选项和过滤器,能够帮助管理员快速定位和获取所需的目录信息。本文将介绍Adfind的用法,并提供相应的源代码示例,以帮助你更好地理解和应用工具。这些示例展示了Adfind的一些高级用法,你可以根据具体需求使用不同的过滤器和查询选项。
Adfind域查询工具:使用指南与编程示例
PixelNovaO的博客
08-13 445
安装完成后,将Adfind的可执行文件添加到系统的环境变量中,以便在任意目录下都能够直接执行Adfind命令。本文介绍了Adfind域查询工具的用法,并提供了编程示例。Adfind是一个强大而灵活的工具,可帮助你在Windows域环境中执行各种查询操作。它具有丰富的查询功能,可以帮助你查找域中的用户、组、计算机等对象,并获取它们的属性信息。Adfind是一个功能强大的域查询工具,它可以帮助开发人员在Windows域环境中执行各种查询操作。本文将介绍Adfind的用法,并提供一些实用的编程示例。
AD域信息查询工具
weixin_33725515的博客
09-07 604
问题 在.NET中, 我们可以使用DirectoryEntry跟DirectorySearcher来直接对AD进行查询等操作. 但大家都是开发人员, 有时候对LDAP书写格式等不是很了解, 毕竟不是专业人士. 那么是不是有啥小工具来帮助我们呢? 解决方案 我们可以使用"Active Directory Explorer"这个小工具来查看或者编辑一些信息. 有需要的同学可以点击链接查看具体内容. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

kui954

感谢各位的支持o(* ̄3 ̄)o

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值