Enumerando as contas do AD

Agora vamos utilizar as credenciais obtidas para saber se há algum usuário capaz de nos fornecer a possibilidade de chegar no servidor principal. Para isso podemos utilizar o rpcclient para conversar diretamente com o servidor com credenciais válidas.

$ rpcclient -W <domínio> -U <usuário> <ip-servidor>

Podemos enumerar os usuários.

$ rpcclient -U "rlourdes" -W orionscorp2 172.16.1.253
Enter ORIONSCORP2\rlourdes's password: 
rpcclient $> enumdomusers
user:[Administrador] rid:[0x1f4]
user:[Convidado] rid:[0x1f5]
user:[DefaultAccount] rid:[0x1f7]
user:[Usuario] rid:[0x3e9]
user:[WDAGUtilityAccount] rid:[0x1f8]

Se quisermos ver informações do usuário.

rpcclient $> queryuser 0x1f4
        User Name   :   Administrador
        Full Name   :
        Home Drive  :
        Dir Drive   :
        Profile Path:
        Logon Script:
        Description :   Conta interna para a administração do computador/domínio
        Workstations:
        Comment     :
        Remote Dial :
        Logon Time               :      Wed, 31 Dec 1969 21:00:00 -03
        Logoff Time              :      Wed, 31 Dec 1969 21:00:00 -03
        Kickoff Time             :      Wed, 13 Sep 30828 23:48:05 -03
        Password last set Time   :      Wed, 31 Dec 1969 21:00:00 -03
        Password can change Time :      Wed, 31 Dec 1969 21:00:00 -03
        Password must change Time:      Wed, 13 Sep 30828 23:48:05 -03
        unknown_2[0..31]...
        user_rid :      0x1f4
        group_rid:      0x201
        acb_info :      0x00000211
        fields_present: 0x00ffffff
        logon_divs:     168
        bad_password_count:     0x00000000
        logon_count:    0x00000000
        padding1[0..7]...
        logon_hrs[0..21]...

Se quisermos enumerar os grupos.

rpcclient $> enumdomgroups
group:[Controladores de Domínio de Empresa Somente Leitura] rid:[0x1f2]
group:[Administradores do Domínio] rid:[0x200]
group:[Usuários do Domínio] rid:[0x201]
group:[Convidados do Domínio] rid:[0x202]
group:[Computadores do domínio] rid:[0x203]
group:[Controladores de domínio] rid:[0x204]
group:[Administradores de esquema] rid:[0x206]
group:[Administradores de empresa] rid:[0x207]
group:[Proprietários criadores de diretiva de grupo] rid:[0x208]
group:[Controladores de Domínio Somente Leitura] rid:[0x209]
group:[Controladores de Domínio Clonáveis] rid:[0x20a]
group:[Protected Users] rid:[0x20d]
group:[Administradores de Chaves] rid:[0x20e]
group:[Administradores de Chaves Empresariais] rid:[0x20f]
group:[DnsUpdateProxy] rid:[0x44e]

Se quisermos ver informações dos grupos.

rpcclient $> querygroup 0x200
        Group Name:     Administradores do Domínio
        Description:    Administradores designados do domínio
        Group Attribute:7
        Num Members:4

E agora para vermos os membros desse grupo.

rpcclient $> querygroupmem 0x200
        rid:[0x1f4] attr:[0x7]
        rid:[0x452] attr:[0x7]
        rid:[0x460] attr:[0x7]
        rid:[0xa2b] attr:[0x7]

Agora para vermos as informações de um usuário.

rpcclient $> queryuser 0x1f4
        User Name   :   Administrador
        Full Name   :
        Home Drive  :
        Dir Drive   :
        Profile Path:
        Logon Script:
        Description :   Conta interna para a administração do computador/domínio
        Workstations:
        Comment     :
        Remote Dial :
        Logon Time               :      Tue, 21 Sep 2021 15:57:37 -03
        Logoff Time              :      Wed, 31 Dec 1969 21:00:00 -03
        Kickoff Time             :      Wed, 31 Dec 1969 21:00:00 -03
        Password last set Time   :      Wed, 19 Feb 2020 18:54:28 -03
        Password can change Time :      Thu, 20 Feb 2020 18:54:28 -03
        Password must change Time:      Wed, 13 Sep 30828 23:48:05 -03
        unknown_2[0..31]...
        user_rid :      0x1f4
        group_rid:      0x201
        acb_info :      0x00000210
        fields_present: 0x00ffffff
        logon_divs:     168
        bad_password_count:     0x00000000
        logon_count:    0x00000012
        padding1[0..7]...
        logon_hrs[0..21]...