官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
Alpha_h4ck- 关注
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
关于FarsightAD
FarsightAD是一款功能强大的PowerShell脚本,该工具可以帮助广大研究人员在活动目录域遭受到渗透攻击之后,检测到由攻击者部署的持久化机制。
该脚本能够生成并导出各种对象及其属性的CSV/JSON文件,并附带从元数据副本中获取到的时间戳信息。除此之外,如果使用了复制权限执行该工具的话,则可以利用目录复制服务(DRS)协议来检测完全或部分隐藏的对象。
工具下载
广大研究人员可以使用下列命令将该项目源码克隆至本地
git clone https://github.com/Qazeer/FarsightAD.git
工具要求
FarsightAD需要PowerShell7以及对应版本的ActiveDirectory模块。在Windows 10/11操作系统上,可以通过可选功能来安装该模块。
如果安装成功,则可以使用下列命令来更新该模块:
Add-WindowsCapability -Online -Name Rsat.ServerManager.Tools~~~~0.0.1.0
如果模块成功更新完成,那么Get-Command Get-ADObject则会返回下列信息:
CommandType Name Version Source ----------- ---- ------- ------ Cmdlet Get-ADObject 1.0.X.X ActiveDirectory
工具下载
广大研究人员可以使用下列命令将该项目源码克隆至本地:
git clone https://github.com/Qazeer/FarsightAD.git
工具基础使用
. .\FarsightAD.ps1 Invoke-ADHunting [-Server <DC_IP | DC_HOSTNAME>] [-Credential <PS_CREDENTIAL>] [-ADDriveName <AD_DRIVE_NAME>] [-OutputFolder <OUTPUT_FOLDER>] [-ExportType <CSV | JSON>]
工具使用演示
在下列使用样例中,我们将进行完整/部分的隐藏对象检测。
添加一个完整的隐藏用户:
隐藏一个用户的SID History属性:
使用Export-ADHuntingHiddenObjectsWithDRSRepData发现完整/部分隐藏用户:
许可证协议
本项目的开发与发布遵循CC0-1.0开源许可证协议。
项目地址
FarsightAD:【GitHub传送门】
参考资料
https://github.com/vletoux/MakeMeEnterpriseAdmin
https://github.com/gentilkiwi/mimikatz
https://github.com/b4rtik/SharpKatz
https://www.powershellgallery.com/packages/ADComputerKeys/1.0.0/Content/ADComputerKeys.psm1
https://posts.specterops.io/certified-pre-owned-d95910965cd2
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
- 2359 文章数
- 1022 关注者