关于ADRecon

ADRecon是一款功能强大的活动目录安全研究与信息收集工具,该工具可以帮助广大研究人员从目标活动目录环境中提取和整合各种信息,这些信息能够以特殊格式的Microsoft Excel报告呈现,其中包括带有度量的摘要视图,以便于分析并提供目标目标活动环境当前状态的整体视图。

该工具专为各类安全专业人员(例如安全审计人员、数字取证与事件应急响应人员和安全管理人员等)而设计,对于渗透测试人员来说,该工具则变成了一个非常强大的后渗透利用工具。

该工具支持在任何连接到目标环境/工作站的设备上运行,甚至可以从非域成员的主机运行。除此之外,该工具可以在非特权(即标准域用户)帐户的上下文中执行,而细粒度密码策略、LAPS和BitLocker可能需要特权用户帐户。

值得一提的是,该工具将使用Microsoft远程服务器管理工具(RSAT)实现其部分功能,如果RSAT不可用,则使用LDAP与域控制器通信。

支持收集的信息

当前版本的ADRecon支持收集下列信息:

1、域森林信息;

2、域信息;

3、受信账号;

4、网站信息;

5、子网信息;

6、Schema历史;

7、默认和细粒度密码策略;

8、域控制器、SMB版本、是否支持SMB签名以及FSMO角色;

9、用户及其属性;

10、服务主体名称(SPN);

11、组、成员资格和变更;

12、组织单位(OU);

13、组策略对象和gPLink详细信息;

14、DNS区域和记录;

15、打印机;

16、计算机及其属性;

17、PasswordAttributes;

18、LAPS密码;

19、BitLocker恢复密钥;

20、域、OU、根容器、GPO、用户、计算机和组对象的ACL(DACL和SACL);

21、GPOReport;

22、Kerberoast和用于服务帐户的域帐户;

工具要求

必要要求

1、.NET Framework 3.0+(Windows 7已包含3.0);

2、PowerShell 2.0+(Windows 7已包含2.0);

3、一台Windows主机(不支持Linux/macOS的PowerShell);

可选要求

1、Microsoft Excel;

2、远程服务器管理员工具(RSAT);

3、Windows 10或Windows 7主机;

工具安装

广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/adrecon/ADRecon.git

除此之外,我们也可以直接访问该项目的【Releases页面】下载ADRecon的预编译版本。

工具使用

在一台域成员主机上运行ADRecon:

PS C:\> .\ADRecon.ps1

在一台域成员主机上以不同用户身份运行ADRecon:

PS C:\>.\ADRecon.ps1 -DomainController <IP or FQDN> -Credential <domain\username>

在一台非域成员主机上使用LDAP运行ADRecon:

PS C:\>.\ADRecon.ps1 -Method LDAP -DomainController <IP or FQDN> -Credential <domain\username>

在一台非域成员主机上使用RSAT和指定模块运行ADRecon:

PS C:\>.\ADRecon.ps1 -Method ADWS -DomainController <IP or FQDN> -Credential <domain\username> -Collect Domain, DomainControllers

基于ADRecon输出(CSV文件)生成ADRecon-Report.xlsx报告:

PS C:\>.\ADRecon.ps1 -GenExcel C:\ADRecon-Report-<timestamp>

许可证协议

本项目的开发与发布遵循AGPL-3.0开源许可证协议。

项目地址

ADRecon:【GitHub传送门

参考资料

https://github.com/sense-of-security/adrecon

https://senseofsecurity.com.au/

https://speakerdeck.com/prashant3535/adrecon-bh-asia-2018-arsenal-presentation

https://speakerdeck.com/prashant3535/adrecon-bh-usa-2018-arsenal-and-def-con-26-demo-labs-presentation

https://www.meetup.com/en-AU/Bay-Area-OWASP/events/253585385/

https://speakerdeck.com/prashant3535/active-directory-recon-101-owasp-bay-area-presentation

https://2018.chcon.nz/mainevent.html

https://speakerdeck.com/prashant3535/adrecon-detection-chcon-2018

https://www.microsoft.com/en-au/download/details.aspx?id=45520

https://www.microsoft.com/en-au/download/details.aspx?id=7887

本文作者:Alpha_h4ck, 转自FreeBuf