这篇文章跟大家分析一下“狩猎内网信息侦察工具Goddi怎么用”。内容详细易懂,对“狩猎内网信息侦察工具Goddi怎么用”感兴趣的朋友可以跟着小编的思路慢慢深入来阅读一下,希望阅读后能够对大家有所帮助。下面跟着小编一起深入学习“狩猎内网信息侦察工具Goddi怎么用”的知识吧。Goddi 是 NetSPI 使用 Go 语言编写的工具,该工具有助于收集 Active Directory 域信息,被认为是 BloodHound、ADInfo、PowerSploit 和 windapsearch 等其他几种常见工具的替代方案。Goddi 依赖对域控进行一系列自定义的 LDAP 查询来获取信息。此外,还支持通过 TCP/389 上的 StartTLS 与域控加密通信。Goodi 可检索以下类型的信息:域用户特权用户组的用户密码未设置过期的用户被锁定或禁用的用户密码超过 45 天的用户域计算机域控可信域关系SPN域组域组织单位域账户策略域委派用户域组策略对象(GPO)默认情况下,Windows 域控都支持基本的 LDAP 操作。只要有一个有效的域账户,即可通过 TCP/389 执行 LDAP 查询进行枚举。Goddi 非常简单易用,下图展示了如何进行枚举尝试:那么,在网络流量中的情况呢?捕获网络流量,可以看到 Goddi 使用的是 LDAP 查询。通常来说,我们会看到许多 LDAP searchRequest 免费云主机域名消息,包括基于要查询的数据类型的特定协议数据单元(PDU)。例如,枚举域中的计算机列表,并提取每个计算机的一些属性,如下所示:在 Wireshark 中解析流量,显示了 LDAP 的 filter 和 attributes:如果使用 tshark 的话,也很方便。例如,用 tshark 提取发给域控查询的 LDAP searchRequest 请求。在流量中解析 LDAP 查询,并提供抽象层来获取记录类型。在 AWAKE 中发现此类侦察行为(MITRE ATT&CK ID:T1087、T1018、T1082、T1016、T1033)时,如下所示:可视化明显地看出源 Windows 设备试图查询目标计算机的操作系统和工作站列表。由于侦察行为的普遍性,检测侦察行为非常棘手。团队可以花费时间对侦察活动和正常域活动进行分类,比如基于频率、时间范围、发出请求的实体以及来自该实体的其他可疑行为。从防御的角度看,建议收紧域控的 ACL 和权限。不幸的是,很多合法工具和服务也依赖于此。关于狩猎内网信息侦察工具Goddi怎么用就分享到这里啦,希望上述内容能够让大家有所提升。如果想要学习更多知识,请大家多多留意小编的更新。谢谢大家关注一下云编程开发博客网站!
这篇文章给大家介绍CVE-2019-9766漏洞复现,内容非常详细,感兴趣的小伙伴们可以参考借鉴,希望对大家能有所帮助。 CVE-2019-9766曝出了关于Free MP3 CDRipper的缓冲区溢出漏洞,在转换文件时,Free MP3 CD Ripper…
免责声明:本站发布的图片视频文字,以转载和分享为主,文章观点不代表本站立场,本站不承担相关法律责任;如果涉及侵权请联系邮箱:360163164@qq.com举报,并提供相关证据,经查实将立刻删除涉嫌侵权内容。
微信扫一扫 
