如何使用SharpSniper通過用戶名和IP查找活動(dòng)目錄中的指定用戶

發(fā)布時(shí)間 2022-07-06

關(guān)于SharpSniper

SharpSniper是一款針對(duì)活動(dòng)目錄安全的強(qiáng)大工具,在該工具的幫助下,廣大研究人員可以通過目標(biāo)用戶的用戶名和登錄的IP地址在活動(dòng)目錄中迅速查找和定位到指定用戶。

在一般的紅隊(duì)活動(dòng)中,通常會(huì)涉及到針對(duì)域管理賬號(hào)的操作任務(wù)。在某些場景中,某些客戶(比如說企業(yè)的CEO)可能會(huì)更想知道自己企業(yè)或組織中域特定用戶是否足夠安全。

SharpSniper便應(yīng)運(yùn)而生,SharpSniper是一款簡單且功能強(qiáng)大的安全工具,可以尋找目標(biāo)域用戶的IP地址,并幫助我們輕松尋找和定位到這些用戶。

工具運(yùn)行機(jī)制

該工具需要我們擁有目標(biāo)域控制器中讀取日志的權(quán)限。

首先,SharpSniper會(huì)查詢并枚舉出目標(biāo)組織內(nèi)的域控制器,然后以列表形式呈現(xiàn)。接下來,該工具會(huì)搜索目標(biāo)用戶賬號(hào)相關(guān)的任何域控制器登錄事件,并讀取DHCP最新分配給TA的登錄IP地址。

環(huán)境要求

.Net Framework v3.5

關(guān)于域控制器

域控制器( Domain controller,DC)是活動(dòng)目錄的存儲(chǔ)位置,安裝了活動(dòng)目錄的計(jì)算機(jī)稱為域控制器。

1.png

域控制器中包含了由這個(gè)域的賬戶、密碼、屬于這個(gè)域的計(jì)算機(jī)等信息構(gòu)成的數(shù)據(jù)庫。當(dāng)電腦聯(lián)入網(wǎng)絡(luò)時(shí),域控制器首先要鑒別這臺(tái)電腦是否是屬于這個(gè)域的,用戶使用的登錄賬號(hào)是否存在、密碼是否正確。如果以上信息有一樣不正確,那么域控制器就會(huì)拒絕這個(gè)用戶從這臺(tái)電腦登錄。不能登錄,用戶就不能訪問服務(wù)器上有權(quán)限保護(hù)的資源,他只能以對(duì)等網(wǎng)用戶的方式訪問Windows共享出來的資源,這樣就在一定程度上保護(hù)了網(wǎng)絡(luò)上的資源。

工具下載

廣大研究人員可以使用下列命令將該項(xiàng)目源碼克隆至本地:

git clone https://github.com/HunnicCyber/SharpSniper.git

工具使用

cmd.exe(提供憑證)

C:\> SharpSniper.exe emusk DomainAdminUser DAPass123

 

User: emusk - IP Address: 192.168.37.130

cmd.exe(提供當(dāng)前認(rèn)證令牌,例如Mimikatz pth)

C:\> SharpSniper.exe emusk

 

User: emusk - IP Address: 192.168.37.130

Cobalt Strike(提供憑證)

> execute-assembly /path/to/SharpSniper.exe emusk DomainAdminUser DAPass123

 

User: emusk - IP Address: 192.168.37.130

Cobalt Strike(Beacon的令牌)

> execute-assembly /path/to/SharpSniper.exe emusk

 

User: emusk - IP Address: 192.168.37.130