网络安全学习：内网渗透案例，打破渗透瓶颈( 三 ) _内网渗透

并且 Adfind 还给我们提供了一个快捷的按位查询方式，可以直接用来代替那些复杂的 BitFilterRule-ID：
位过滤规则
OID
Adfind BitFilterRule
LDAP_MATCHING_RULE_BIT_AND
1.2.840.113556.1.4.803
:AND:
LDAP_MATCHING_RULE_OR
1.2.840.113556.1.4.804
:OR:
LDAP_MATCHING_RULE_TRANSITIVE_EVAL
1.2.840.113556.1.4.1941
:INCHAIN:
LDAP_MATCHING_RULE_DN_WITH_DATA
1.2.840.113556.1.4.2253
:DNWDATA:
如下实例：
Adfind.exe -b dc=whoamianony,dc=org -f "(userAccountControl:AND:=524288)" -bit -dn

文章插图

LDAP 查找中的 objectClass 和 objectCategoryobjectClass在对象的 objectClass 属性里面，可以看到这个对象是哪一个类的实例，以及这个类所继承的所有父类。例如，域内主机CN=EWS,CN=Computers,DC=whoamianony,DC=org这个条目的objectClass属性的值中包括 top、person、organizationalPerson、user 和 computer：

文章插图

根据类的继承关系可知，该对象是 computer 类的一个实例，而 computer 是 user 的子类，user 是 organizationalPerson 的子类，organizationalPerson 是 person 的子类，person 是 top 的子类。那么我们通过以下过滤语法都可以找到这个对象：
(objectClass=organizationalPerson)由于所有的类都是 top 类的子类，所以当我们使用(objectClass=top)语句进行过滤时，域内所有的对象都可以搜索到
objectCategory对象类的每个实例还具有一个 objectCategory 属性，该属性是一个单值属性。并且建立了索引。其中包含的值为该实例对象的类或该类所继承的父类之一的专有名称。如下所示，

文章插图

域内主机CN=EWS,CN=Computers,DC=whoamianony,DC=org这个条目的objectCategory属性的值为CN=Computer,CN=Schema,CN=Configuration,DC=whoamianony,DC=org 。如果我们想过滤所有 objectCategory 的属性为CN=Computer,CN=Schema,CN=Configuration,DC=whoamianony,DC=org的对象，使用以下语法即可：
(objectCategory=CN=Computer,CN=Schema,CN=Configuration,DC=whoamianony,DC=org)

文章插图

但是这样的话需要记住完整的 DN，为了方便，对象所属的类中还有一个 lDAPDisplayName 属性，用于指定该类所显示的名称。我们可以看到，对象CN=EWS所属的类存储在CN=Computer,CN=Schema,CN=Configuration,DC=whoamianony,DC=org中，里面有一个 lDAPDisplayName 属性的值正是 computer：

文章插图

而且， LDAP 是支持直接使用类的 lDAPDisplayName 属性作为条件进行搜索的，所以如果我们想要查找所有 objectCategory 的属性为CN=Computer,CN=Schema,CN=Configuration,DC=whoamianony,DC=org的对象，可以直接用 lDAPDisplayName 属性的值代替那一长串 DN：
(objectCategory=computer)

文章插图

二者查询效果相同。
2021最新整理网络安全渗透测试/安全学习（全套视频、大厂面经、精品手册、必备工具包）一>关注我，私信回复"资料"获取<一
由于 objectCategory 建立索引，所以查询时间比较快，在对 Active Directory 进行查询时可以将二者结合使用以提高查询效率。
Ending…