如何使用SharpSniper通過用戶名和IP查找活動目錄中的指定用戶

發(fā)布時間 2022-07-06

關(guān)于SharpSniper

SharpSniper是一款針對活動目錄安全的強大工具,在該工具的幫助下,廣大研究人員可以通過目標用戶的用戶名和登錄的IP地址在活動目錄中迅速查找和定位到指定用戶。

在一般的紅隊活動中,通常會涉及到針對域管理賬號的操作任務。在某些場景中,某些客戶(比如說企業(yè)的CEO)可能會更想知道自己企業(yè)或組織中域特定用戶是否足夠安全。

SharpSniper便應運而生,SharpSniper是一款簡單且功能強大的安全工具,可以尋找目標域用戶的IP地址,并幫助我們輕松尋找和定位到這些用戶。

工具運行機制

該工具需要我們擁有目標域控制器中讀取日志的權(quán)限。

首先,SharpSniper會查詢并枚舉出目標組織內(nèi)的域控制器,然后以列表形式呈現(xiàn)。接下來,該工具會搜索目標用戶賬號相關(guān)的任何域控制器登錄事件,并讀取DHCP最新分配給TA的登錄IP地址。

環(huán)境要求

.Net Framework v3.5

關(guān)于域控制器

域控制器( Domain controller,DC)是活動目錄的存儲位置,安裝了活動目錄的計算機稱為域控制器。

1.png

域控制器中包含了由這個域的賬戶、密碼、屬于這個域的計算機等信息構(gòu)成的數(shù)據(jù)庫。當電腦聯(lián)入網(wǎng)絡時,域控制器首先要鑒別這臺電腦是否是屬于這個域的,用戶使用的登錄賬號是否存在、密碼是否正確。如果以上信息有一樣不正確,那么域控制器就會拒絕這個用戶從這臺電腦登錄。不能登錄,用戶就不能訪問服務器上有權(quán)限保護的資源,他只能以對等網(wǎng)用戶的方式訪問Windows共享出來的資源,這樣就在一定程度上保護了網(wǎng)絡上的資源。

工具下載

廣大研究人員可以使用下列命令將該項目源碼克隆至本地:

git clone https://github.com/HunnicCyber/SharpSniper.git

工具使用

cmd.exe(提供憑證)

C:\> SharpSniper.exe emusk DomainAdminUser DAPass123

 

User: emusk - IP Address: 192.168.37.130

cmd.exe(提供當前認證令牌,例如Mimikatz pth)

C:\> SharpSniper.exe emusk

 

User: emusk - IP Address: 192.168.37.130

Cobalt Strike(提供憑證)

> execute-assembly /path/to/SharpSniper.exe emusk DomainAdminUser DAPass123

 

User: emusk - IP Address: 192.168.37.130

Cobalt Strike(Beacon的令牌)

> execute-assembly /path/to/SharpSniper.exe emusk

 

User: emusk - IP Address: 192.168.37.130