如何使用SharpSniper通过用户名和IP查找活动目录中的指定用户
IP 使用 如何 用户 通过 目录 查找 指定
2023-06-13 09:18:08 时间
关于SharpSniper
SharpSniper是一款针对活动目录安全的强大工具,在该工具的帮助下,广大研究人员可以通过目标用户的用户名和登录的IP地址在活动目录中迅速查找和定位到指定用户。
在一般的红队活动中,通常会涉及到针对域管理账号的操作任务。在某些场景中,某些客户(比如说企业的CEO)可能会更想知道自己企业或组织中域特定用户是否足够安全。
SharpSniper便应运而生,SharpSniper是一款简单且功能强大的安全工具,可以寻找目标域用户的IP地址,并帮助我们轻松寻找和定位到这些用户。
工具运行机制
该工具需要我们拥有目标域控制器中读取日志的权限。
首先,SharpSniper会查询并枚举出目标组织内的域控制器,然后以列表形式呈现。接下来,该工具会搜索目标用户账号相关的任何域控制器登录事件,并读取DHCP最新分配给TA的登录IP地址。
环境要求
.Net Framework v3.5
关于域控制器
域控制器( Domain controller,DC)是活动目录的存储位置,安装了活动目录的计算机称为域控制器。
域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。
工具下载
广大研究人员可以使用下列命令将该项目源码克隆至本地:
git clone https://github.com/HunnicCyber/SharpSniper.git
工具使用
cmd.exe(提供凭证)C:\> SharpSniper.exe emusk DomainAdminUser DAPass123
User: emusk - IP Address: 192.168.37.130
cmd.exe(提供当前认证令牌,例如Mimikatz pth)C:\> SharpSniper.exe emusk
User: emusk - IP Address: 192.168.37.130
Cobalt Strike(提供凭证)> execute-assembly /path/to/SharpSniper.exe emusk DomainAdminUser DAPass123
User: emusk - IP Address: 192.168.37.130
Cobalt Strike(Beacon的令牌)> execute-assembly /path/to/SharpSniper.exe emusk
User: emusk - IP Address: 192.168.37.130
项目地址
https://github.com/HunnicCyber/SharpSniper
精彩推荐
相关文章
- 如何使用 IP 地理定位进行流量过滤?
- TCP和UDP协议的区别_tcp和ip是什么意思
- 如何使用python+urllib库+代理IP爬取新闻数据
- 如何使用r4ven检查自己的电子设备是否泄漏了IP及GPS信息
- MySQL指定IP访问:安全性和可行性(mysql指定ip访问)
- Linux系统下配置网卡IP的方法(linux配置网卡ip)
- Linux系统IP设置:从零开始(linux系统ip设置)
- Linux快速获取端口及IP信息(linux端口ip)
- Linux 如何伪造 IP?(linux伪造ip)
- 如何在 Linux 系统中禁用 IP 访问?(linux禁用ip访问)
- Linux如何快速获取本地IP(linux获取本地ip)
- Linux 网络配置:手动设置 IP 地址(linux手动ip)
- Linux下IP命令详解:一次性解决网络问题(linux下ip命令)
- 使用 Linux C 获取本地 IP 信息(linuxC本地IP)
- 使用MySQL实现IP连接的快速指南(mysqlip连接)
- 使用Oracle内网IP提升安全性(oracle 内网ip)
- 局域网中架设本地Redis IP解决方案(本地redis ip)
- 使用IP访问Oracle数据库的指南(ip连接oracle)
- IP变更导致Oracle监听失效(ip改了oracle监听)
- MySQL无法使用IP地址登录,如何解决(mysql不能用ip登录)
- Ip Redis集群如何发现可用IP(redis集群如何查可用)
- Redis现在有访问限定仅限IP访问(redis 限定ip)
- 使用Redis实现两个IP之间的连接(redis连接两个ip)
- Redis中的独立IP记录(redis记录独立ip)