渗透基础——域内用户口令策略的获取

0x00 前言


在域渗透中,我们在口令爆破前需要先获得域内用户的口令策略,以免在口令爆破时锁定用户

站在防御的角度,需要识别出口令爆破的攻击行为并采取防御措施

本文将要介绍获取域内用户口令策略的常用方法,结合利用思路分享检测域用户口令爆破的方法。

0x01 简介


本文将要介绍以下内容:

  • 修改域用户口令策略的方法
  • 域外获取域用户口令策略的方法
  • 域内获取域用户口令策略的方法
  • 检测方法

0x02 基础知识


我们需要关注以下口令策略:

  • Maximum password age,表示密码过期的时间,默认为42
  • Minimum password length,表示密码的最小长度,默认为7
  • Account lockout duration,表示被锁定的帐户在自动解锁前保持锁定的分钟数,默认为30
  • Account lockout threshold,表示导致用户帐户被锁定的失败登录尝试次数,默认为5
  • Reset account lockout counter after,表示失败登录尝试计数器重置为0次错误登录尝试之前,失败登录尝试后必须经过的分钟数,默认为30

0x03 修改域用户口令策略的方法


域用户的口令策略默认保存在域内的默认组策略(Default Domain Policy)中,guid为{31B2F340-016D-11D2-945F-00C04FB984F9}

在域控制器上打开Group Policy Management,找到当前域,选择Default Domain Policy,右键选择编辑,如下图

Alt text

依次打开Computer Configuration->Policies->Windows Settings->Security Settings->Account Policies,如下图

Alt text

根据提示修改对应的选项

修改以后可以选择立即更新组策略使其立即生效,命令行输入:

gpupdate

0x04 域外获取域用户口令策略的方法


1.Kali系统通过ldapsearch获取域用户口令策略

测试环境如下图

Alt text

前提:我们能够访问到域控制器(DC)的389端口,并且我们至少已经获得了域内一个普通用户的口令

这个测试环境中,我们获得了域内普通用户testa的口令为DomainUser123!

连接命令如下:

ldapsearch -x -H ldap://192.168.1.1:389 -D "CN=testa,CN=Users,DC=test,DC=com" -w DomainUser123! -b "DC=test,DC=com" | grep replUpToDateVector -A 13

参数说明: -x 进行简单认证 -H 服务器地址 -D 用来绑定服务器的DN -w 绑定DN的密码 -b 指定要查询的根节点

使用grep命令对输出结果进行筛选,grep replUpToDateVector -A 13是为了只显示出同密码策略相关的项

输出结果如下图

Alt text

包括以下需要的信息:

  • maxPwdAge: -36288000000000
  • minPwdLength: 10
  • lockoutDuration: -18600000000
  • lockoutThreshold: 15
  • lockOutObservationWindow: -18600000000

换算成以秒为单位要除以10000000

例如:

(1)maxPwdAge: -36288000000000

36288000000000/10000000=3628800s

3628800/86400=42d

maxPwdAge=42d

(2)lockoutDuration: -18600000000

-18600000000/10000000=1860s

1860/60=31m

lockoutDuration=31m

2.Windows系统通过PowerShell获取域用户口令策略

测试环境如下图

Alt text

前提:我们能够访问到域控制器(DC)的389端口,并且我们至少已经获得了域内一个普通用户的口令

这个测试环境中,我们获得了域内普通用户testa的口令为DomainUser123!

这里需要使用powershell模块Active Directory

这里不必专门安装powershell模块Active Directory,可以通过调用Microsoft.ActiveDirectory.Management.dll的方式解决

Microsoft.ActiveDirectory.Management.dll在安装powershell模块Active Directory后生成,我已经提取出来并上传至github: https://github.com/3gstudent/test/blob/master/Microsoft.ActiveDirectory.Management.dll

此外,还需要使用凭据信息,所以完整的Powershell命令如下:

$uname="testa"
$pwd=ConvertTo-SecureString "DomainUser123!" -AsPlainText –Force
$cred=New-Object System.Management.Automation.PSCredential($uname,$pwd)
import-module .\Microsoft.ActiveDirectory.Management.dll
Get-ADDefaultDomainPasswordPolicy -Server 192.168.1.1 -Credential $cred -Verbose

输出结果如下图

Alt text

3.Windows系统通过域共享文件获取域用户口令策略

测试环境同上

域用户的口令策略保存在域内的默认组策略(Default Domain Policy)中,guid为{31B2F340-016D-11D2-945F-00C04FB984F9}

这里可以通过通过访问域内共享文件夹\SYSVOL进行查看

前提:需要提供域用户的凭据

这个测试环境中,我们获得了域内普通用户testa的口令为DomainUser123!

通用位置为:\\<DOMAIN Controller IP>\SYSVOL\<DOMAIN>\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

测试环境的位置为:\\192.168.1.1\SYSVOL\test.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

输出结果如下图

Alt text

0x05 域内获取域用户口令策略的方法


前提是已经获得了域内一台主机的权限

测试环境如下图

Alt text

1.通过PowerShell获取域用户口令策略

import-module .\Microsoft.ActiveDirectory.Management.dll
Get-ADDefaultDomainPasswordPolicy

2.通过c++获取域用户口令策略

使用API NetUserModalsGet来获取域用户的口令策略

结构体USER_MODALS_INFO_0保存全局密码信息

结构体USER_MODALS_INFO_3保存锁定信息

参考资料:

https://docs.microsoft.com/en-us/windows/win32/api/lmaccess/nf-lmaccess-netusermodalsget?redirectedfrom=MSDN

根据参考资料中的代码,添加查询用户锁定信息的功能,代码已上传至github,地址如下:

https://github.com/3gstudent/Homework-of-C-Language/blob/master/GetDomainPasswordPolicy.cpp

代码分别使用结构体USER_MODALS_INFO_0USER_MODALS_INFO_3对用户的口令策略进行查询

输出结果如下图

Alt text

###3.通过域共享文件获取域用户口令策略

通用位置为:\\<DOMAIN>\SYSVOL\<DOMAIN>\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

测试环境的位置为:\\test.com\SYSVOL\test.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

0x06 检测方法


域用户的属性中包括两个有用的信息:

  • badPwdCount,记录用户口令错误的次数
  • lastbadpasswordattempt,记录上次口令输入错误的登陆时间

我们在检测时可以通过查询这两个属性来识别是否遭受口令爆破的攻击,具体方法如下:

1.直接在域控制器上查询

Powershell代码如下:

Get-ADUser -Filter * -Properties *| select name,lastbadpasswordattempt,badpwdcount|fl

输出结果如下图

Alt text

2.在域内普通用户登录的主机上

(1)使用powerview

Get-NetUser | select name,badpasswordtime,badpwdcount

输出结果如下图

Alt text

(2)使用c++

https://github.com/3gstudent/Homework-of-C-Language/blob/master/CheckUserBadPwdPolicy.cpp

输出结果如下图

Alt text

3.在域外的kali系统上

(1)使用ldapsearch

ldapsearch -x -H ldap://192.168.1.1:389 -D "CN=testa,CN=Users,DC=test,DC=com" -w DomainUser123! -b "DC=test,DC=com" -b "DC=test,DC=com" "(&(objectClass=user)(objectCategory=person))"|grep -E "cn:|badPwdCount|badPasswordTime"

输出结果如下图

Alt text

注:

如果口令输入正确,那么badPwdCount会被清零

0x07 小结


本文列举了获取域内用户口令策略的常用方法,介绍了如何在多种环境下识别出口令爆破的行为。


LEAVE A REPLY

Written on December 20, 2019