ADCollector从域环境中提取有价值信息以进行攻击和防御的工具

ADCollector从域环境中提取有价值信息以进行攻击和防御的工具

ADCollector介绍

ADCollector是一种轻量级工具,它枚举Active Directory环境以识别可能的攻击媒介。
ADCollector不能替代强大的PowerView,它只是自动进行枚举,以快速识别更多的信息,而无需在Recon的早期阶段进行过多思考。

ADCollector特点

ADCollector中实现的功能非常适合在具有大量用户/计算机的大型企业环境中进行枚举,而不会产生大量流量并占用大量时间
它仅专注于从最有价值的目标中提取有用的 特征/属性/ ACL,而不是枚举域中所有用户/计算机对象的所有可用属性。以后肯定会需要PowerView进行更详细的枚举。

开发此工具的目的是帮助我从不同的角度了解更多有关Active Directory安全信息,并弄清楚这些PowerView功能的幕后花絮。

它使用S.DS命名空间从域控制器(LDAP服务器)。它还利用S.DS.P命名空间进行LDAP搜索。

ADCollector能列举的服务如下:

Current Domain/Forest information 
[当前域/林信息]

Domains in the current forest (with domain SIDs)
 [当前林中的域(具有域SID)]

Domain Controllers in the current domain [GC/RODC] (with ~~IP,OS Site and ~~Roles)
[当前域[GC/RODC]中的域控制器(具有~-IP、操作系统站点和~~角色)]

Domain/Forest trusts as well as trusted domain objects[SID filtering status] 
[域/林信任以及受信任的域对象[SID筛选状态]]

Privileged users (currently in DA and EA group) 
[特权用户(当前在DA和EA组中)] 

Unconstrained delegation accounts (Excluding DCs) 
[无限制委托账户(不包括跟单信用证)]

Constrained Delegation (S4U2Self, S4U2Proxy, Resources-based constrained delegation)
 [约束委托(S4U2Self、S4U2Proxy、基于资源的约束委托)]

MSSQL/Exchange/RDP/PS Remoting SPN accounts 
[MSSQL/Exchange/RDP/PS远程处理SPN帐户]

User accounts with SPN set & password does not expire account 
[设置了SPN密码的用户帐户不过期帐户]

Confidential attributes ()
 [机密属性()]

ASREQROAST (DontRequirePreAuth accounts)
 [asreqbroast(DontRequirePreAuth帐户)] AdminSDHolder protected accounts [管理员文件夹保护帐户]

Domain attributes (MAQ, minPwdLength, maxPwdAge lockoutThreshold, gpLink[group policies that linked to the current domain object]) 
[域属性(MAQ、minpwdleng、maxPwdAge lockoutThreshold、gpLink[链接到当前域对象的组策略])]

LDAP basic info(supportedLDAPVersion, supportedSASLMechanisms, domain/forest/DC Functionality) 
[LDAP基本信息(支持的ldapversion、支持的saslmechanisms、域/林/DC功能)] Kerberos Policy [Kerberos策略]

Interesting ACLs on the domain object, resolving GUIDs (User defined object in the future)
 [域对象上有趣的acl,解析guid(将来用户定义的对象)]

Unusual DCSync Accounts
 [异常的DCSync帐户]

Interesting ACLs on GPOs
 [gpo上有趣的acl]

Interesting descriptions on user objects 
[关于用户对象的有趣描述]

Sensitive & Not delegate account
 [敏感的非委托帐户]

Group Policy Preference cpassword in SYSVOL/Cache 
[SYSVOL/Cache中的组策略首选项cpassword]

Effective GPOs on the current user/computer 
[当前用户/计算机上的有效GPO]

Restricted groups  [限制组]

Nested Group Membership  [嵌套组成员身份]

ADCollector工具下载地址:

①GitHub: GitHub
②Google网盘: https://w.ddosi.workers.dev/github/ADCollector.exe

使用方法:

C:\Users> ADCollector.exe  -h

      _    ____   ____      _ _             _
     / \  |  _ \ / ___|___ | | | ___  ___ _| |_ ___  _ __
    / _ \ | | | | |   / _ \| | |/ _ \/ __|_  __/ _ \| '__|
   / ___ \| |_| | |__| (_) | | |  __/ (__  | || (_) | |
  /_/   \_\____/ \____\___/|_|_|\___|\___| |__/\___/|_|

  v1.1.4  by dev2null

Usage: ADCollector.exe -h
    
    --Domain (Default: current domain)
            Enumerate the specified domain

    --Ldaps (Default: LDAP)
            Use LDAP over SSL/TLS

    --Spns (Default: no SPN scanning)
            Enumerate SPNs

    --Term (Default: 'pass')
            Term to search in user description field

    --Acls (Default: 'Domain object')
            Interesting ACLs on an object

Example: .\ADCollector.exe --SPNs --Term key --ACLs 'CN=Domain Admins,CN=Users,DC=lab,DC=local'
ADCollector从域环境中提取有价值信息以进行攻击和防御的工具
ADCollector从域环境中提取有价值信息以进行攻击和防御的工具

更新日志:

v 1.1.1:

①它现在使用S.DS.P命名空间来执行搜索操作,使搜索更快、更容易实现。(它还支持分页搜索。)
②它现在支持在其他域中搜索。(命令行解析器尚未实现)。
③代码逻辑是重构的,代码更少,更容易理解和内聚。

v 1.1.2:

①分成三类。
②正确地释放ldap连接。
③枚举:adminsholder、域属性(MAQ、minpwdlengtm maxPwdAge、lockOutThreshold、链接到域对象的GP),帐户不需要预身份验证。
④LDAP基本信息(支持的ldapversion、支持的saslmechanisms、域/林/DC功能)
⑤SPN扫描(MSSQL、Exchange、RDP和PS远程处理的SPN)
⑥约束委派枚举(S4U2Self、S4U2Proxy以及基于资源的约束委派)
⑦RODC(管理RODC的组)

v 1.1.3:

①修复了SPN扫描结果,特权帐户组成员身份
②密码不会使帐户过期;设置了SPN的用户帐户;
③Kerberos策略
④域对象的有趣ACLs枚举,解析guid
⑤DC信息返回

v 1.1.4:

①一些bug被修复,一些细节被改进
②SPN扫描现在是可选的
③SYSVOL/Cache中的GPP cpassword
④gpo上有趣的acl;用户对象的有趣描述;
⑤异常的DCSync帐户;敏感帐户和非委派帐户
⑥用户/计算机上的有效gpo
⑦限制组
⑧嵌套组成员身份

项目地址:

GitHub