SharpADWS

SharpADWS — это инструмент,‏ разработанный для Red Team, который‏ фокусируется на‏ разведке‏ и эксплуатации сред‏ Active Directory‏ (AD) с помощью протокола‏ веб-служб‏ Active Directory‏ (ADWS). В‏ отличие от традиционных методов взаимодействия‏ с‏ Active Directory,‏ которые часто‏ используют облегченный протокол доступа к‏ каталогам‏ (LDAP),‏ SharpADWS использует‏ ADWS для‏ выполнения своих‏ операций.

ADWS‏ - это‏ веб-служба, которая автоматически включается при‏ установке доменных‏ служб‏ Active Directory (ADDS),‏ что делает‏ ее универсальной для всех‏ доменных‏ сред. Она‏ работает через‏ TCP-порт 9389 и использует протокол‏ SOAP‏ для связи.‏ Одним из‏ ключевых преимуществ использования ADWS является‏ то,‏ что‏ он относительно‏ неизвестен и‏ недостаточно используется‏ для‏ последующей эксплуатации‏ LDAP, что может сделать действия,‏ выполняемые с‏ его‏ помощью, менее заметными‏ с помощью‏ обычных инструментов мониторинга.

SharpADWS может‏ выполнять‏ различные действия‏ без прямой‏ связи с сервером LDAP. Вместо‏ этого‏ запросы LDAP‏ упаковываются в‏ SOAP-сообщения и отправляются на сервер‏ ADWS,‏ который‏ затем распаковывает‏ и пересылает‏ их на‏ сервер‏ LDAP. Это‏ может привести к тому, что‏ в журналах‏ будет‏ отображаться, что запросы‏ LDAP исходят‏ с локального адреса 127.0.0.1,‏ что‏ может быть‏ пропущено системами‏ безопасности.

Инструмент реализует несколько протоколов, включая‏ MS-ADDM,‏ MS-WSTIM и‏ MS-WSDS, и‏ позволяет выполнять такие операции, как‏ перечисление,‏ извлечение‏ результатов, обновление,‏ получение статуса‏ и освобождение‏ контекстов‏ перечисления. SharpADWS‏ также можно использовать для изменения‏ данных Active‏ Directory,‏ например, предоставления привилегий‏ DCSync учетной‏ записи для сохранения домена‏ или‏ включения опции‏ ”Не требовать‏ предварительной проверки подлинности kerberos” для‏ учетной‏ записи для‏ выполнения повторной‏ атаки.