狩猎内网信息侦察工具Goddi怎么用

Goddi

Goddi 是 NetSPI 使用 Go 语言编写的工具,该工具有助于收集 Active Directory 域信息被认为是 BloodHound、ADInfo、PowerSploit 和 windapsearch 等其他几种常见工具的替代方案

Goddi 依赖对域控进行一系列自定义的 LDAP 查询来获取信息。此外,还支持通过 TCP/389 上的 StartTLS 与域控加密通信。Goodi 可检索以下类型的信息:

域用户

特权用户组的用户

密码未设置过期的用户

被锁定或禁用的用户

密码超过 45 天的用户

域计算机

域控

可信域关系

SPN

域组

域组织单位

域账户策略

域委派用户

域组策略对象(GPO)

技术分析

默认情况下,Windows 域控都支持基本的 LDAP 操作。只要有一个有效的域账户,即可通过 TCP/389 执行 LDAP 查询进行枚举

Goddi 非常简单易用,下图展示了如何进行枚举尝试:

狩猎内网信息侦察工具Goddi怎么用

那么,在网络流量中的情况呢?捕获网络流量,可以看到 Goddi 使用的是 LDAP 查询。通常来说,我们会看到许多 LDAP searchRequest 消息,包括基于要查询的数据类型的特定协议数据单元(PDU)。

例如,枚举域中的计算机列表,并提取每个计算机的一些属性,如下所示:

狩猎内网信息侦察工具Goddi怎么用

在 Wireshark 中解析流量,显示了 LDAP 的 filter 和 attributes:

狩猎内网信息侦察工具Goddi怎么用

如果使用 tshark 的话,也很方便。例如,用 tshark 提取发给域控查询的 LDAP searchRequest 请求。

狩猎内网信息侦察工具Goddi怎么用

检测模型

在流量中解析 LDAP 查询,并提供抽象层来获取记录类型。在 AWAKE 中发现此类侦察行为(MITRE ATT&CK ID:T1087、T1018、T1082、T1016、T1033)时,如下所示:

狩猎内网信息侦察工具Goddi怎么用

可视化明显地看出源 Windows 设备试图查询目标计算机的操作系统和工作站列表

建议

由于侦察行为的普遍性,检测侦察行为非常棘手。团队可以花费时间对侦察活动和正常域活动进行分类,比如基于频率、时间范围、发出请求的实体以及来自该实体的其他可疑行为。

从防御的角度看,建议收紧域控的 ACL 和权限。不幸的是,很多合法工具和服务也依赖于此

关于狩猎内网信息侦察工具Goddi怎么用就分享到这里啦,希望上述内容能够让大家有所提升。如果想要学习更多知识,请大家多多留意小编的更新。谢谢大家关注一下亿速云网站!

文章标题:狩猎内网信息侦察工具Goddi怎么用,发布者:亿速云,转载请注明出处:https://worktile.com/kb/p/29793

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
亿速云的头像亿速云认证作者
上一篇 2022年9月26日 上午1:44
下一篇 2022年9月26日 上午1:46

相关推荐

  • jquery中子元素选择器和后代元素选择器有哪些区别

    jquery中子元素选择器和后代元素选择器的区别:1、子元素选择器的语法为“$(“父元素>子元素”)”,后代元素选择器的语法为“$(“父元素 子元素”)”;2、子元素选择器只对直接后代产生影响,而对多层后代不产生作用,而后代元素选择器是对所有指定…

    2022年9月2日
    53000
  • 如何实现APT32样本分析

    一、基本信息 样本MD5 bb3306543ff********9372bb3c72712 样本文件大小 3.29 MB (3,449,856 字节) 样本类型 后门程序 样本描述 利用Office恶意宏加载木马模块 分析时间 2019年12月 二、分析 2.1简介 该恶意文档,共被植入了三段恶意宏…

    2022年9月18日
    60600
  • windows todesk远程软件安全吗

    todesk远程软件安全吗: 答:todesk远程软件非常安全。 1、客户端与中心服务器和高速通道集群通讯都采用高强度AEAD(Authenticated Encryption with Additional Data) xchacha20-ietf-poly1305算法。 2、在用户完成远程连接后…

    2022年9月20日
    1.2K00
  • 用于解析mac地址的协议是哪个

    用于解析mac地址的协议是“RARP”。RARP(反向地址转换协议)可以将MAC地址解析为IP地址,允许局域网的物理机器从网关服务器的ARP表或者缓存上请求其IP地址。RARP发出要反向解析的物理地址并希望返回其对应的IP地址,应答包括由能够提供所需信息的RARP服务器发出的IP地址。 本教程操作环…

    2022年9月18日
    68800
  • mysql的2002错误怎么解决

    在mysql中,2022错误指的是编译的时候没有指定socket,所以mysql命令连接的时候还是使用的默认值,因为socket位置变了,而mysql命令不知道,所以就出现了这样的错误,可以修改“/etc/my.cnf”文件来解决该错误。 本教程操作环境:windows10系统、mysql8.0.2…

    2022年9月1日
    1.2K00
  • 使用ajax要不要引入jquery

    使用ajax不需要引入jquery;ajax全称是“Asynchronous javascript and XML”,也即异步JavaScript和XML,是指一种创建交互网页应用的网页开发技术,JavaScript原本就支持ajax,若是使用原生的ajax请求,当然不需要引入jquery。 本文操…

    2022年8月31日
    66700
  • 路由器wps有哪些优缺点

    路由器wps是“Wi-Fi安全防护设置”的意思;wps是“Wi-Fi Protected Setup”的简称,是由“Wi-Fi”联盟所推出的全新“Wi-Fi”安全防护设定标准,用于简化“Wi-Fi”无线的安全设置和网络管理,支持个人识别码模式和按钮模式。 本教程操作环境:windows10系统、DE…

    2022年9月6日
    78100
  • Java怎么通过动态代理实现一个简单的拦截器操作

    一、代理 在使用动态代理实现拦截器之前我们先简单了解一下什么Java的代理。 代理,顾名思义,就是不直接操作被代理(下面都用目标对象称呼,听起来舒服一些)对象,而是通过一个代理对象去间接的使用目标对象中的方法。代理分为两种模式,一种是静态代理,一种是动态代理。接下来先写一个静态代理的例子。 无论是静…

    2022年8月27日
    64400
  • 怎么强化MySQL的安全

    名列前茅步:设置强密码 对于所有数据库用户来说,使用强密码很重要。鉴于大多数人不会经常手动登录数据库,请使用密码管理器或命令行工具 pwgen 为你的数据库帐户创建一个随机的 20 个字符的密码。即使你使用额外的 MySQL 访问控制来限制特定帐户可以登录的位置(例如将帐户严格限制为 localho…

    2022年9月20日
    40700
  • cad字体乱码如何解决

    cad字体乱码解决方法 1、首先鼠标右键CAD的图标,点击“打开文件位置”; 打开CAD的默认安装位置。 2、找到名为Fonts的文件夹。 3、找到simsun.ttc这个文件,点击删除。再重启CAD就可以了。 关于“cad字体乱码如何解决”这篇文章的内容就介绍到这里,感谢各位的阅读!相信大家对“c…

    2022年9月15日
    93400
注册PingCode 在线客服
站长微信
站长微信
电话联系

400-800-1024

工作日9:30-21:00在线

分享本页
返回顶部