Перейти к содержанию

Получение сведений из Active Directory

После проникновения в AD возникает естественное желание продвигаться дальше, для этого, первым делом, нужно получить как можно больше сведений об объектах AD

mmc:RSAT

В случае наличия в mmc оснастки Remote Server Administration Tools (RSAT) сведения об объектах AD (OU, пользователи, группы и т.д.) можно получить прямо из оснастки.

cmd

Используя возможности утилиты net можно также получить сведения об объектах AD:

# Получение пользователей домена
net user /domain

# Получение информации о конкретном пользователе:
net user dummy.user /domain

# Получение информации о группах домена
net group /domain

# Получение сведений о конкретной группе домена
net group "Tier 0 Admins" /domain

# Просмотр политики паролей
net accounts /domain

powershell

В случае наличия на машине оснатски RSAT в powershell добавятся командлеты для работы с ней:

# Получение информации о домене

Get-ADDomain -Server $SERVER-NAME

# Получение информации о пользователях домена

Get-ADUser -Identity gordon.stevens -Server $SERVER-NAME -Properties *

# Получение информации о группах домена

Get-ADGroup -Identity Administrators -Server $SERVER-NAME

# Можно получать сведения не только о пользователях/группах, но и о других объектах AD

$ChangeDate = New-Object DateTime(2023, 12, 19, 08, 00, 00)
Get-ADObject -Filter 'whenChanged -gt $ChangeDate' -includeDeletedObjects -Server $SERVER-NAME

# Кроме получения сведений, с помощью командлетов из RSAT можно и изменять данные об объектах

Set-ADAccountPassword -Identity dummy.user -Server $SERVER-NAME -OldPassword (ConvertTo-SecureString -AsPlaintext "old" -force) -NewPassword (ConvertTo-SecureString -AsPlainText "new" -Force)

Bloodhound

Инструмент для графического отображения связей между объектами AD. В виду того, что в свой работе ему нужен лишь "слепок" AD, его удобно использовать для глубокого изучения структуры в спокойной, тихой обстановке. Из этого следует, что такой инструмент может быть полезен и представителям BlueTeam - графы связей помогут найти слабые места в структуре.

Для построения графа связей использует данные полученные из Sharpound:

Sharphound.exe --CollectionMethods <Methods> --Domain $SERVER-NAME --ExcludeDCs

!!Warning "Обрати внимание" Для коректного построения графа, версии Sharpound и Bloodhound должны совпадать.

После сбора сведений, полученный архив нужно будет передать на машину с установленным Bloodhound, а потом загрузить его с помощью drag-and-drop.

Прочие способы