SharpADWS
SharpADWS — это инструмент, разработанный для Red Team, который фокусируется на разведке и эксплуатации сред Active Directory (AD) с помощью протокола веб-служб Active Directory (ADWS). В отличие от традиционных методов взаимодействия с Active Directory, которые часто используют облегченный протокол доступа к каталогам (LDAP), SharpADWS использует ADWS для выполнения своих операций.
ADWS — это веб-служба, которая автоматически включается при установке доменных служб Active Directory (ADDS), что делает ее универсальной для всех доменных сред. Она работает через TCP-порт 9389 и использует протокол SOAP для связи. Одним из ключевых преимуществ использования ADWS является то, что он относительно неизвестен и недостаточно используется для последующей эксплуатации LDAP, что может сделать действия, выполняемые с его помощью, менее заметными с помощью обычных инструментов мониторинга.
SharpADWS может выполнять различные действия без прямой связи с сервером LDAP. Вместо этого запросы LDAP облекаются в SOAP-сообщения и отправляются на сервер ADWS, который затем распаковывает и пересылает их на сервер LDAP. Это может привести к тому, что в журналах будет отображаться, что запросы LDAP исходят с локального адреса 127.0.0.1, что может быть пропущено системами безопасности.
Инструмент реализует несколько протоколов, включая MS-ADDM, MS-WSTIM и MS-WSDS, и позволяет выполнять такие операции, как перечисление, извлечение результатов, обновление, получение статуса и освобождение контекстов перечисления. SharpADWS также можно использовать для изменения данных Active Directory, например, предоставления привилегий DCSync учетной записи для сохранения домена или включения опции «Не требовать предварительной проверки подлинности kerberos» для учетной записи для выполнения повторной атаки.
Vkontakte
Twitter
Одноклассники
Предыдущий
