您好,登錄后才能下訂單哦!
這篇文章跟大家分析一下“狩獵內(nèi)網(wǎng)信息偵察工具Goddi怎么用”。內(nèi)容詳細(xì)易懂,對(duì)“狩獵內(nèi)網(wǎng)信息偵察工具Goddi怎么用”感興趣的朋友可以跟著小編的思路慢慢深入來閱讀一下,希望閱讀后能夠?qū)Υ蠹矣兴鶐椭O旅娓【幰黄鹕钊雽W(xué)習(xí)“狩獵內(nèi)網(wǎng)信息偵察工具Goddi怎么用”的知識(shí)吧。
Goddi 是 NetSPI 使用 Go 語言編寫的工具,該工具有助于收集 Active Directory 域信息,被認(rèn)為是 BloodHound、ADInfo、PowerSploit 和 windapsearch 等其他幾種常見工具的替代方案。
Goddi 依賴對(duì)域控進(jìn)行一系列自定義的 LDAP 查詢來獲取信息。此外,還支持通過 TCP/389 上的 StartTLS 與域控加密通信。Goodi 可檢索以下類型的信息:
域用戶
特權(quán)用戶組的用戶
密碼未設(shè)置過期的用戶
被鎖定或禁用的用戶
密碼超過 45 天的用戶
域計(jì)算機(jī)
域控
可信域關(guān)系
SPN
域組
域組織單位
域賬戶策略
域委派用戶
域組策略對(duì)象(GPO)
默認(rèn)情況下,Windows 域控都支持基本的 LDAP 操作。只要有一個(gè)有效的域賬戶,即可通過 TCP/389 執(zhí)行 LDAP 查詢進(jìn)行枚舉。
Goddi 非常簡(jiǎn)單易用,下圖展示了如何進(jìn)行枚舉嘗試:
那么,在網(wǎng)絡(luò)流量中的情況呢?捕獲網(wǎng)絡(luò)流量,可以看到 Goddi 使用的是 LDAP 查詢。通常來說,我們會(huì)看到許多 LDAP searchRequest 消息,包括基于要查詢的數(shù)據(jù)類型的特定協(xié)議數(shù)據(jù)單元(PDU)。
例如,枚舉域中的計(jì)算機(jī)列表,并提取每個(gè)計(jì)算機(jī)的一些屬性,如下所示:
在 Wireshark 中解析流量,顯示了 LDAP 的 filter 和 attributes:
如果使用 tshark 的話,也很方便。例如,用 tshark 提取發(fā)給域控查詢的 LDAP searchRequest 請(qǐng)求。
在流量中解析 LDAP 查詢,并提供抽象層來獲取記錄類型。在 AWAKE 中發(fā)現(xiàn)此類偵察行為(MITRE ATT&CK ID:T1087、T1018、T1082、T1016、T1033)時(shí),如下所示:
可視化明顯地看出源 Windows 設(shè)備試圖查詢目標(biāo)計(jì)算機(jī)的操作系統(tǒng)和工作站列表。
由于偵察行為的普遍性,檢測(cè)偵察行為非常棘手。團(tuán)隊(duì)可以花費(fèi)時(shí)間對(duì)偵察活動(dòng)和正常域活動(dòng)進(jìn)行分類,比如基于頻率、時(shí)間范圍、發(fā)出請(qǐng)求的實(shí)體以及來自該實(shí)體的其他可疑行為。
從防御的角度看,建議收緊域控的 ACL 和權(quán)限。不幸的是,很多合法工具和服務(wù)也依賴于此。
關(guān)于狩獵內(nèi)網(wǎng)信息偵察工具Goddi怎么用就分享到這里啦,希望上述內(nèi)容能夠讓大家有所提升。如果想要學(xué)習(xí)更多知識(shí),請(qǐng)大家多多留意小編的更新。謝謝大家關(guān)注一下億速云網(wǎng)站!
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。