web安全团结互助，让我们共同进步！

当前位置：主页 > 技术资讯 > 网络安全 > web安全 >

我们的优势： 10年相关行业经验，专业设计师量身定制设计师一对一服务模式，上百家客户案例！企业保证，正规流程，正规合作 7*24小时在线服务，售后无忧

如何使用ADSI接口和反射型DLL枚举活动目录

文章来源：牛创网络围观次数：

分享到:

摘要：您正在使用TIBER-EU，CBEST和其他红队安全评估框架，并最终成功地渗透到目标网络，并使用有效负载和C2通道成功绕过了目标网络的安全保护措施。我们的Active Directory枚举工具不会触发安全警报

C/C++

如果使用传统的PowerShell / C＃，则可能需要将编写的脚本放置在目标设备的磁盘上，安全产品可能会检测到该脚本。在这里，我们可以选择使用Assembly.load等方法将工具直接加载到内存中，而C / C可以帮助我们实现类似的功能。在这里，我们可以使用反射方法将已编译的C / C恶意程序注入到目标设备的内存中。以下是一些较流行的方法：

1. DonutPE装载机（参考）

2.反射式DLL注入（原始版本）（改进版本）

3，Shellcode反射DLL注入

Active Directory服务接口（ADSI）

好的，让我们回到主题，即如何实现Active Directory枚举。我们希望枚举AD信息时，不会触发AMSI或不会留下明显的事件日志（这可以通过伪造事件日志的内容来实现）。要与Active Directory交互并枚举其对象属性，我们需要到Active Directory服务接口（ADSI）。

Active Directory接口（ADSI）简介

Active Directory服务接口ADSI是Microsoft引入的一项新技术。它统一了许多底层服务的编程接口，程序员可以使用一致的对象技术来访问这些底层服务。 ADSI提取这些服务的公共部分，并同时隔离不同部分。程序员可以使用统一的界面来访问基础服务的公共部分，并将它们扩展到基础服务的私有部分。 ADSI提供了一组COM接口，可用于访问来自不同网络提供商的目录服务功能。独立的软件供应商和开发人员可以使用ADSI对产品和应用程序进行目录启用。

很好，所以我们的重点是如何通过C / C构建您自己的Active Directory枚举工具。在这里，我们实际上不需要自己重新创建轮子，因为Microsoft的GitHub库为我们提供了很好的参考。 sample-QueryUsers。我们可以使用此示例来开发自己的客户。

QueryUsers

QueryUsers：[GitHub门户]

QueryUsers可以在Active Directory域中实现分区查询，并可以指定与过滤器匹配的用户对象。该工具使用IDirectorySearch来实现搜索功能。

借助QueryUsers，我们可以搜索特定用户或所有用户，并返回标识该用户的所有属性。 QueryUsers的工作方式如下：

1. ADSI是基于COM构建的，因此我们需要使用CoInitialize（）函数在程序中初始化COM；

2.我们需要使用ADsOpenObject（）绑定LDAProotDSE，这样我们就可以收集有关Active Directory的信息，并使用返回的IADsCOM对象获取defaultNamingContext信息；

3.获得defaultNamingContext之后，我们可以再次使用ADsOpenObject（）绑定Domain容器，它将返回IDirectorySearchCOM接口，该接口可用于查询和搜索Active Directory；

4.调用FindUsers（）函数时，它将基于函数参数和以下字符串构造一个LDAP过滤器-“(&(objectClass=user)(objectCategory=person)%s)”。如果我们为改程序提供以下搜索过滤器参数“(sAMAccountName=Administrator)”，那么我们的LDAP过滤器实则为(&(objectClass=user)(objectCategory=person) (sAMAccountName=Administrator))”；

5、使用ADS_SEARCHPREF_INFO结构体作为搜索参数的首选项；

6、执行IDirectorySearch对象中的ExecuteSearch()方法，该方法将根据我们的 LDAP 过滤器返回所有结果；

7、最后，使用GetFirstRow()、GetNextColumnName()、GetColumn()和 GetNextRow()方法遍历结果，并输出特定的用户属性；

集成到常用的C2框架&PoC

Cobalt Strike具有用于代码/DLL注入的多种功能选项，并且有功能非常强大的嵌入脚本语言支持，因此开发人员可以根据自己的需要来扩展Cobalt Strike的功能。

为了验证该技术的可行性，我们开发了一种基于ADSI和反射型DLL的活动目录枚举工具，该工具可以直接在Cobalt Strike中使用。我们的PoC工具名叫Recon-AD，该工具目前由其中反射型DLL以及对应的AggressorScript脚本构成。

其主要功能如下：

1、Recon-AD-Domain: 查询域信息（包括域名、GUID、站点名称、密码策略、域控列表等）；
2、Recon-AD-Users: 查询用户对象和相应的属性；
3、Recon-AD-Groups: 查询组对象和相应的属性；
4、Recon-AD-Computers: 查询计算机对象和相应的属性；
5、Recon-AD-SPNs: 查询配置了服务主体名称（SPN）的用户对象并显示有用的属性；
6、Recon-AD-AllLocalGroups: 在计算机是上查询所有本地组和组成员；
7、Recon-AD-LocalGroups: 在计算机上查询特定的本地组和组成员（默认 Administrators 组）；