ADRecon是一款功能强大的活动目录安全研究与信息收集工具,该工具可以帮助广大研究人员从目标活动目录环境中提取和整合各种信息,这些信息能够以特殊格式的Microsoft Excel报告呈现,其中包括带有度量的摘要视图,以便于分析并提供目标目标活动环境当前状态的整体视图。
该工具专为各类安全专业人员(例如安全审计人员、数字取证与事件应急响应人员和安全管理人员等)而设计,对于渗透测试人员来说,该工具则变成了一个非常强大的后渗透利用工具。
该工具支持在任何连接到目标环境/工作站的设备上运行,甚至可以从非域成员的主机运行。除此之外,该工具可以在非特权(即标准域用户)帐户的上下文中执行,而细粒度密码策略、LAPS和BitLocker可能需要特权用户帐户。
值得一提的是,该工具将使用Microsoft远程服务器管理工具(RSAT)实现其部分功能,如果RSAT不可用,则使用LDAP与域控制器通信。
当前版本的ADRecon支持收集下列信息:
1、域森林信息;
2、域信息;
3、受信账号;
4、网站信息;
5、子网信息;
6、Schema历史;
7、默认和细粒度密码策略;
8、域控制器、SMB版本、是否支持SMB签名以及FSMO角色;
9、用户及其属性;
10、服务主体名称(SPN);
11、组、成员资格和变更;
12、组织单位(OU);
13、组策略对象和gPLink详细信息;
14、DNS区域和记录;
15、打印机;
16、计算机及其属性;
17、PasswordAttributes;
18、LAPS密码;
19、BitLocker恢复密钥;
20、域、OU、根容器、GPO、用户、计算机和组对象的ACL(DACL和SACL);
21、GPOReport;
22、Kerberoast和用于服务帐户的域帐户;
1、.NET Framework 3.0+(Windows 7已包含3.0);
2、PowerShell 2.0+(Windows 7已包含2.0);
3、一台Windows主机(不支持Linux/macOS的PowerShell);
1、Microsoft Excel;
2、远程服务器管理员工具(RSAT);
3、Windows 10或Windows 7主机;
广大研究人员可以使用下列命令将该项目源码克隆至本地:
git clone https://github.com/adrecon/ADRecon.git
(向右滑动,查看更多)
除此之外,我们也可以直接访问该项目的【Releases页面】下载ADRecon的预编译版本。
在一台域成员主机上运行ADRecon:
PS C:\> .\ADRecon.ps1
在一台域成员主机上以不同用户身份运行ADRecon:
PS C:\>.\ADRecon.ps1 -DomainController <IP or FQDN> -Credential <domain\username>
(向右滑动,查看更多)
在一台非域成员主机上使用LDAP运行ADRecon:
PS C:\>.\ADRecon.ps1 -Method LDAP -DomainController <IP or FQDN> -Credential <domain\username>
(向右滑动,查看更多)
在一台非域成员主机上使用RSAT和指定模块运行ADRecon:
PS C:\>.\ADRecon.ps1 -Method ADWS -DomainController <IP or FQDN> -Credential <domain\username> -Collect Domain, DomainControllers
(向右滑动,查看更多)
基于ADRecon输出(CSV文件)生成ADRecon-Report.xlsx报告:
PS C:\>.\ADRecon.ps1 -GenExcel C:\ADRecon-Report-<timestamp>
(向右滑动,查看更多)
本项目的开发与发布遵循AGPL-3.0开源许可证协议。
ADRecon:https://github.com/adrecon/ADRecon
https://github.com/sense-of-security/adrecon
https://senseofsecurity.com.au/
https://speakerdeck.com/prashant3535/adrecon-bh-asia-2018-arsenal-presentation
https://speakerdeck.com/prashant3535/adrecon-bh-usa-2018-arsenal-and-def-con-26-demo-labs-presentation
https://www.meetup.com/en-AU/Bay-Area-OWASP/events/253585385/
https://speakerdeck.com/prashant3535/active-directory-recon-101-owasp-bay-area-presentation
https://2018.chcon.nz/mainevent.html
https://speakerdeck.com/prashant3535/adrecon-detection-chcon-2018
https://www.microsoft.com/en-au/download/details.aspx?id=45520
https://www.microsoft.com/en-au/download/details.aspx?id=7887
精彩推荐