溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這篇文章跟大家分析一下“狩獵內網信息偵察工具Goddi怎么用”。內容詳細易懂,對“狩獵內網信息偵察工具Goddi怎么用”感興趣的朋友可以跟著小編的思路慢慢深入來閱讀一下,希望閱讀后能夠對大家有所幫助。下面跟著小編一起深入學習“狩獵內網信息偵察工具Goddi怎么用”的知識吧。
Goddi 是 NetSPI 使用 Go 語言編寫的工具,該工具有助于收集 Active Directory 域信息,被認為是 BloodHound、ADInfo、PowerSploit 和 windapsearch 等其他幾種常見工具的替代方案。
Goddi 依賴對域控進行一系列自定義的 LDAP 查詢來獲取信息。此外,還支持通過 TCP/389 上的 StartTLS 與域控加密通信。Goodi 可檢索以下類型的信息:
域用戶
特權用戶組的用戶
密碼未設置過期的用戶
被鎖定或禁用的用戶
密碼超過 45 天的用戶
域計算機
域控
可信域關系
SPN
域組
域組織單位
域賬戶策略
域委派用戶
域組策略對象(GPO)
默認情況下,Windows 域控都支持基本的 LDAP 操作。只要有一個有效的域賬戶,即可通過 TCP/389 執行 LDAP 查詢進行枚舉。
Goddi 非常簡單易用,下圖展示了如何進行枚舉嘗試:
那么,在網絡流量中的情況呢?捕獲網絡流量,可以看到 Goddi 使用的是 LDAP 查詢。通常來說,我們會看到許多 LDAP searchRequest 消息,包括基于要查詢的數據類型的特定協議數據單元(PDU)。
例如,枚舉域中的計算機列表,并提取每個計算機的一些屬性,如下所示:
在 Wireshark 中解析流量,顯示了 LDAP 的 filter 和 attributes:
如果使用 tshark 的話,也很方便。例如,用 tshark 提取發給域控查詢的 LDAP searchRequest 請求。
在流量中解析 LDAP 查詢,并提供抽象層來獲取記錄類型。在 AWAKE 中發現此類偵察行為(MITRE ATT&CK ID:T1087、T1018、T1082、T1016、T1033)時,如下所示:
可視化明顯地看出源 Windows 設備試圖查詢目標計算機的操作系統和工作站列表。
由于偵察行為的普遍性,檢測偵察行為非常棘手。團隊可以花費時間對偵察活動和正常域活動進行分類,比如基于頻率、時間范圍、發出請求的實體以及來自該實體的其他可疑行為。
從防御的角度看,建議收緊域控的 ACL 和權限。不幸的是,很多合法工具和服務也依賴于此。
關于狩獵內網信息偵察工具Goddi怎么用就分享到這里啦,希望上述內容能夠讓大家有所提升。如果想要學習更多知識,請大家多多留意小編的更新。謝謝大家關注一下億速云網站!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
