目录导航
ADCollector介绍
ADCollector是一种轻量级工具,它枚举Active Directory环境以识别可能的攻击媒介。
ADCollector不能替代强大的PowerView,它只是自动进行枚举,以快速识别更多的信息,而无需在Recon的早期阶段进行过多思考。
ADCollector特点
ADCollector中实现的功能非常适合在具有大量用户/计算机的大型企业环境中进行枚举,而不会产生大量流量并占用大量时间。
它仅专注于从最有价值的目标中提取有用的 特征/属性/ ACL,而不是枚举域中所有用户/计算机对象的所有可用属性。以后肯定会需要PowerView进行更详细的枚举。
开发此工具的目的是帮助我从不同的角度了解更多有关Active Directory安全信息,并弄清楚这些PowerView功能的幕后花絮。
它使用S.DS命名空间从域控制器(LDAP服务器)。它还利用S.DS.P命名空间进行LDAP搜索。
ADCollector能列举的服务如下:
Current Domain/Forest information
[当前域/林信息]
Domains in the current forest (with domain SIDs)
[当前林中的域(具有域SID)]
Domain Controllers in the current domain [GC/RODC] (with ~~IP,OS Site and ~~Roles)
[当前域[GC/RODC]中的域控制器(具有~-IP、操作系统站点和~~角色)]
Domain/Forest trusts as well as trusted domain objects[SID filtering status]
[域/林信任以及受信任的域对象[SID筛选状态]]
Privileged users (currently in DA and EA group)
[特权用户(当前在DA和EA组中)]
Unconstrained delegation accounts (Excluding DCs)
[无限制委托账户(不包括跟单信用证)]
Constrained Delegation (S4U2Self, S4U2Proxy, Resources-based constrained delegation)
[约束委托(S4U2Self、S4U2Proxy、基于资源的约束委托)]
MSSQL/Exchange/RDP/PS Remoting SPN accounts
[MSSQL/Exchange/RDP/PS远程处理SPN帐户]
User accounts with SPN set & password does not expire account
[设置了SPN密码的用户帐户不过期帐户]
Confidential attributes ()
[机密属性()]
ASREQROAST (DontRequirePreAuth accounts)
[asreqbroast(DontRequirePreAuth帐户)] AdminSDHolder protected accounts [管理员文件夹保护帐户]
Domain attributes (MAQ, minPwdLength, maxPwdAge lockoutThreshold, gpLink[group policies that linked to the current domain object])
[域属性(MAQ、minpwdleng、maxPwdAge lockoutThreshold、gpLink[链接到当前域对象的组策略])]
LDAP basic info(supportedLDAPVersion, supportedSASLMechanisms, domain/forest/DC Functionality)
[LDAP基本信息(支持的ldapversion、支持的saslmechanisms、域/林/DC功能)] Kerberos Policy [Kerberos策略]
Interesting ACLs on the domain object, resolving GUIDs (User defined object in the future)
[域对象上有趣的acl,解析guid(将来用户定义的对象)]
Unusual DCSync Accounts
[异常的DCSync帐户]
Interesting ACLs on GPOs
[gpo上有趣的acl]
Interesting descriptions on user objects
[关于用户对象的有趣描述]
Sensitive & Not delegate account
[敏感的非委托帐户]
Group Policy Preference cpassword in SYSVOL/Cache
[SYSVOL/Cache中的组策略首选项cpassword]
Effective GPOs on the current user/computer
[当前用户/计算机上的有效GPO]
Restricted groups [限制组]
Nested Group Membership [嵌套组成员身份]
ADCollector工具下载地址:
①GitHub: GitHub
②Google网盘: https://w.ddosi.workers.dev/github/ADCollector.exe
使用方法:
C:\Users> ADCollector.exe -h
_ ____ ____ _ _ _
/ \ | _ \ / ___|___ | | | ___ ___ _| |_ ___ _ __
/ _ \ | | | | | / _ \| | |/ _ \/ __|_ __/ _ \| '__|
/ ___ \| |_| | |__| (_) | | | __/ (__ | || (_) | |
/_/ \_\____/ \____\___/|_|_|\___|\___| |__/\___/|_|
v1.1.4 by dev2null
Usage: ADCollector.exe -h
--Domain (Default: current domain)
Enumerate the specified domain
--Ldaps (Default: LDAP)
Use LDAP over SSL/TLS
--Spns (Default: no SPN scanning)
Enumerate SPNs
--Term (Default: 'pass')
Term to search in user description field
--Acls (Default: 'Domain object')
Interesting ACLs on an object
Example: .\ADCollector.exe --SPNs --Term key --ACLs 'CN=Domain Admins,CN=Users,DC=lab,DC=local'

更新日志:
v 1.1.1:
①它现在使用S.DS.P命名空间来执行搜索操作,使搜索更快、更容易实现。(它还支持分页搜索。)
②它现在支持在其他域中搜索。(命令行解析器尚未实现)。
③代码逻辑是重构的,代码更少,更容易理解和内聚。
v 1.1.2:
①分成三类。
②正确地释放ldap连接。
③枚举:adminsholder、域属性(MAQ、minpwdlengtm maxPwdAge、lockOutThreshold、链接到域对象的GP),帐户不需要预身份验证。
④LDAP基本信息(支持的ldapversion、支持的saslmechanisms、域/林/DC功能)
⑤SPN扫描(MSSQL、Exchange、RDP和PS远程处理的SPN)
⑥约束委派枚举(S4U2Self、S4U2Proxy以及基于资源的约束委派)
⑦RODC(管理RODC的组)
v 1.1.3:
①修复了SPN扫描结果,特权帐户组成员身份
②密码不会使帐户过期;设置了SPN的用户帐户;
③Kerberos策略
④域对象的有趣ACLs枚举,解析guid
⑤DC信息返回
v 1.1.4:
①一些bug被修复,一些细节被改进
②SPN扫描现在是可选的
③SYSVOL/Cache中的GPP cpassword
④gpo上有趣的acl;用户对象的有趣描述;
⑤异常的DCSync帐户;敏感帐户和非委派帐户
⑥用户/计算机上的有效gpo
⑦限制组
⑧嵌套组成员身份