在Windows域环境中，Active Directory (AD) 是核心的身份验证与资源管理服务。为了高效地检索和管理AD中的数据，LDAP查询是必不可少的工具。

LDAP查询语法以过滤器的形式表达，通常用于筛选符合特定条件的目录对象。其基本结构如下：

 
(属性=值)
=：等于
!=：不等于
>=：大于或等于
<=：小于或等于
:1.2.840.113556.1.4.803:=：按位与

servicePrincipalName (SPN) 是Kerberos身份验证的重要组件，通常与服务帐户相关联。此查询可以用来枚举域内所有配置了SPN的帐户。具体示例如下所示。

 
ldapsearch -h <域控IP> -x -b "dc=example,dc=com" "(servicePrincipalName=*)"

userAccountControl 是一个标志位属性，每个位代表一个特定功能。1.2.840.113556.1.4.803 是按位与的操作符，此查询排除了所有禁用且设置为无需密码的用户帐户。具体示例如下所示。

 
ldapsearch -h <域控IP> -x -b "dc=example,dc=com" "(!(userAccountControl:1.2.840.113556.1.4.803:=1048574))"

adminCount=1 通常用于标识具有特权的帐户，如域管理员和企业管理员。这些帐户被Active Directory自动标记以启用额外的安全保护，具体示例如下所示。

 
ldapsearch -h <域控IP> -x -b "dc=example,dc=com" "(admincount=1)"

msDS-AllowedToDelegateTo 定义了账户可以委派的服务列表。这在Kerberos约束委派中扮演重要角色，具体示例如下所示。

 
ldapsearch -h <域控IP> -x -b "dc=example,dc=com" "(msds-allowedtodelegateto=*)"

查询 userAccountControl 属性包含值 4194304 的对象，此项值 代表“受信任以进行委派”（Trusted for Delegation），具体示例如下所示。

 
ldapsearch -h <域控IP> -x -b "dc=example,dc=com" "(userAccountControl:1.2.840.113556.1.4.803:=4194304)"

运行以下命令启动 Sharp4SploitConsole，在工具启动后，输入以下命令进入交互式控制台模式。

 
SharpSploitConsole.exe
Interact

再输入 GetDomainUsers 命令以枚举域用户信息，执行此命令后，工具会查询域控并返回所有用户账户的详细信息，如下图所示。

综上，Sharp4SploitConsole 是红队进行域环境渗透的强大工具，其中 GetDomainUsers 命令提供了快速获取域用户信息的能力。红队可利用此功能定位高价值目标并制定攻击计划。同时，防御方需要加强账户管理与监控，确保域环境的安全性，文章涉及的工具已打包在星球，感兴趣的朋友可以加入自取。

从漏洞分析到安全攻防，我们涵盖了 .NET 安全各个关键方面，为您呈现最新、最全面的 .NET 安全知识，下面是公众号发布的精华文章集合，推荐大伙阅读！

星球汇聚了各行业安全攻防技术大咖，并且每日分享.NET安全技术干货以及交流解答各类技术等问题，社区中发布很多高质量的.NET安全资源，可以说市面上很少见，都是干货。

dotNet安全矩阵星球从创建以来一直聚焦于.NET领域的安全攻防技术，定位于高质量安全攻防星球社区，也得到了许多师傅们的支持和信任，通过星球深度连接入圈的师傅们，一起推动.NET安全高质量的向前发展。星球门票后期价格随着内容和质量的不断沉淀会适当提高，因此越早加入越好！