狩猎内网信息侦察工具Goddi怎么用

Goddi

Goddi 是 NetSPI 使用 Go 语言编写的工具,该工具有助于收集 Active Directory 域信息被认为是 BloodHound、ADInfo、PowerSploit 和 windapsearch 等其他几种常见工具的替代方案

Goddi 依赖对域控进行一系列自定义的 LDAP 查询来获取信息。此外,还支持通过 TCP/389 上的 StartTLS 与域控加密通信。Goodi 可检索以下类型的信息:

域用户

特权用户组的用户

密码未设置过期的用户

被锁定或禁用的用户

密码超过 45 天的用户

域计算机

域控

可信域关系

SPN

域组

域组织单位

域账户策略

域委派用户

域组策略对象(GPO)

技术分析

默认情况下,Windows 域控都支持基本的 LDAP 操作。只要有一个有效的域账户,即可通过 TCP/389 执行 LDAP 查询进行枚举

Goddi 非常简单易用,下图展示了如何进行枚举尝试:

狩猎内网信息侦察工具Goddi怎么用

那么,在网络流量中的情况呢?捕获网络流量,可以看到 Goddi 使用的是 LDAP 查询。通常来说,我们会看到许多 LDAP searchRequest 消息,包括基于要查询的数据类型的特定协议数据单元(PDU)。

例如,枚举域中的计算机列表,并提取每个计算机的一些属性,如下所示:

狩猎内网信息侦察工具Goddi怎么用

在 Wireshark 中解析流量,显示了 LDAP 的 filter 和 attributes:

狩猎内网信息侦察工具Goddi怎么用

如果使用 tshark 的话,也很方便。例如,用 tshark 提取发给域控查询的 LDAP searchRequest 请求。

狩猎内网信息侦察工具Goddi怎么用

检测模型

在流量中解析 LDAP 查询,并提供抽象层来获取记录类型。在 AWAKE 中发现此类侦察行为(MITRE ATT&CK ID:T1087、T1018、T1082、T1016、T1033)时,如下所示:

狩猎内网信息侦察工具Goddi怎么用

可视化明显地看出源 Windows 设备试图查询目标计算机的操作系统和工作站列表

建议

由于侦察行为的普遍性,检测侦察行为非常棘手。团队可以花费时间对侦察活动和正常域活动进行分类,比如基于频率、时间范围、发出请求的实体以及来自该实体的其他可疑行为。

从防御的角度看,建议收紧域控的 ACL 和权限。不幸的是,很多合法工具和服务也依赖于此

关于狩猎内网信息侦察工具Goddi怎么用就分享到这里啦,希望上述内容能够让大家有所提升。如果想要学习更多知识,请大家多多留意小编的更新。谢谢大家关注一下亿速云网站!

文章标题:狩猎内网信息侦察工具Goddi怎么用,发布者:亿速云,转载请注明出处:https://worktile.com/kb/p/29793

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022年9月26日 上午1:44
下一篇 2022年9月26日 上午1:46

相关推荐

  • windows驱动精灵ahci驱动怎么安装

    驱动精灵ahci驱动: 答:驱动精灵是无法安装ahci驱动的。 在硬盘IDE模式下是无法发现achi驱动的,所以无法安装。 而改成ata模式也会造成蓝屏。 ahci驱动安装方法: 1、按下“win+r”打开运行,输入 regedit。 2、依次打开 HKEY_LOCAL_MAHCINESystemC…

    2022年9月10日
    11200
  • 如何解析Apache漏洞复现

    apache解析漏洞 漏洞原理 Apache 解析文件的规则是从右到左开始判断解析,如果后缀名为不可识别文件解析,就再往左判断。比如 test.php.owf.rar “.owf”和”.rar” 这两种后缀是apache不可识别解析,apache就会把wooyun.php.owf.rar解析成php…

    2022年9月8日
    3900
  • 如何让mysql不区分大小写

    让mysql不区分大小写的方法:1、进入mysql的安装目录,找到并打开配置文件“my.ini”;2、在配置文件的最后一行加上“lower_case_table_names=1”语句,设置大小写敏感参数“lower_case_table_names”,让mysql对大小写不敏感;3、重启mysql服…

    2022年9月24日
    10400
  • Word如何截图

    Word截图方法 方法一、快捷键截图 屏幕截图:“Ctrl+Alt+X” 截屏时隐藏当前窗口:“Ctrl+Alt+C” 方法二、软件自带截图功能 1、打开Word界面 2、点击“插入”找到“截屏” 3、截屏后Word中会多出图片就是所截取的内容 “Word如何截图”的内容就介绍到这里了,感谢大家的阅…

    2022年9月8日
    14000
  • mysql如何实现分组求和

    在mysql中,可以利用“GROUP BY”关键字和SUM()函数来实现分组求和,语法为“SELECT SUM(进行求和的字段名) FROM 表名 GROUP BY 需要进行分组的字段名;”。“GROUP BY”关键字可以根据一个或多个字段对查询结果进行分组,而SUM()函数根据分组情况分别返回不同…

    2022年9月21日
    21700
  • windows中360桌面助手如何整理桌面

    360桌面助手整理桌面方法: 1、首先打开自己的桌面选择空白处右击。 2、然后在弹出的菜单中点击“桌面助手”。 3、之后选择右侧菜单中的“一键整理桌面”。 4、最后就可以将桌面全部的整理完成了。 感谢各位的阅读,以上就是“windows中360桌面助手如何整理桌面”的内容了,经过本文的学习后,相信大…

    2022年8月31日
    8200
  • 如何进行DLL代理转发与weiquan分析

    DLL劫持 再Windows 7 版本之后,系统采用了KnowDLLs对DLL进行管理,其位于注册表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerKnownDLLs下,在这个下面的DLL文件会被禁止从exe自身所在的目录…

    2022年9月22日
    8700
  • VSCode中如何添加Emmet快捷键

    Emmet 是一个自动将代码片段扩展为 HTML 的工具。它包含在 VS Code 中。 例如以下片段: div.someClass>span*5 将展开为: <div class=”someClass”> <span></span> <span&gt…

    2022年9月8日
    9600
  • imazing请通过usb连接问题怎么解决

    imazing请通过usb连接解决方法 1、我们第一次使用imazing连接电脑和手机是必须要使用usb线的,将usb线一头插在手机上一头插在电脑上。 2、连上之后我们需要在手机上进行确认。 3、确认信任之后就可以使用了。 到此,相信大家对“imazing请通过usb连接问题怎么解决”有了更深的了解…

    2022年9月16日
    9300
  • word怎么制作目录页

    word制作目录的方法: 1、首先将光标放到文档标题下方,然后选择菜单栏依次点击“引用-目录-插入目录”。 2、然后根据情况选择显示级别点击确定,级别的选择只要大于自己需需求都可以。 3、此时如果将光标放置到目录下方,选择“插入-分页”可以使目录和正文分成两页。 4、如果文章的内容发生了更改,会导致…

    2022年9月19日
    6700
联系我们
关注微信
关注微信
分享本页
返回顶部
PingCode 比 Jira 更好用的研发管理工具。免费试用