Active Directory 攻击与防御
微软活动目录域环境在当今的网络环境中扮演着重要的角色,尤其是外企,基本都会使用活动目录域环境来管理用户对象,计算机对象,打印机对象以及一些网络设备。通过使用活动目录,管理员能够中心化、批量地更新和管理操作系统、应用、用户以及对数据的访问,而用户和管理员也能很容易地获取这些信息。
因为活动目录配置和管理的复杂性,在使用过程往往会引入一些安全相关的误配置或者漏洞。而且因为活动目录具备中心化的管理能力,攻击者一旦获得域管理员权限,即可控制域内所有用户和主机,因此活动目录域环境也备受攻击者青睐。
活动目录域环境的安全在企业安全建设的中至关重要,本课程将从攻击者的角度介绍活动目录域环境常见的误配置及漏洞的原理,以及具体的攻击利用方式。同时也会从防御者的角度介绍如何检测和防御针对活动目录的攻击技术,以及如何对活动目录进行安全加固。
”安全不懂业务,业务不懂安全”,可能是我们在工作中遇到的比较多的情景。本课程的原则就是介绍的每个技术点你都能自行搭建环境进行复现,所以会详细介绍活动目录域环境常见服务的安装以及配置,比如域控,子域,活动目录证书服务,LAPS,MSSQL以及Exchange等的安装和配置,同时也会介绍如何引入误配置或者漏洞。
从攻击者的角度,你将学会活动目录域环境的枚举,如BloodHound,PingCastle,AD Explorer,手工枚举等;权限提升,如Kerberoast,活动目录权限滥用,Kerberos 委派滥用,LAPS滥用,MSSQL利用,常见提权漏洞利用(printNightmare,NoPAC...等);横向移动,如凭据提取,Pass the Hash,gMSA利用,Pass the Ticket等;权限维持Golden Ticket,Sliver Ticket,DCSync,Skeleton Key,DSRM利用等技术。此外,你也会学到跨森林攻击相关的技术以及常用攻击工具的免杀。
从防御者的角度,你将学会如何检测和防御针对活动目录相关的攻击技术,比如活动目录的安全审计及日志分析,MDI和MDE的安装配置,HoneyToken,Applocker,WDAC,Credential guard等配置。
学完本课程,你将对活动目录域环境的攻击和防御有一个系统化的了解,你将能够高效地完成针对活动目录的红队评估,蓝队的检测和防御,以及安全加固,或者应急响应工作。
第一部分会介绍域环境的相关概念,以及域控安装,将主机加入域,帐户和组的管理,组策略基础等。
涉及的知识点包括:
活动目录架构
活动目录基本概念
域服务安装
将主机加入域
用户和组
组策略基础
Windows共享
第二部分主要介绍在活动目录环境下,手动的信息收集和枚举,对于一些自动化工具,比如BloodHound等,会简单介绍下安装和使用方法。
涉及的知识点包括:
常用工具介绍
BloodHound
PingCastle
AD explorer
Bypass AMSI
枚举基本信息
枚举GPO
枚举OU
枚举ACL
枚举信任
枚举森林
User Hungting
Share Hungting
主要介绍活动目录权限提升相关的技术,比如Kerberoast,AD权限滥用,Kerberos委派,MSSQL利用,域环境常见提权漏洞的的利用等。
涉及的知识点包括:
活动目录认证
NTLM认证
Kerberos认证
Kerberoast
Targeted Kerberoasting
密码碰洒
AD权限滥用
GenericAll
WriteDACL
GenericWrite
Kerberos委派
非约束委派
约束委派
资源基于的约束委派
LAPS
MS Exchange
DNSAdmin
MSSQL利用
漏洞利用
Zerologon
printNightmare
NoPAC
PetitPotam
主要介绍域环境相关的横向移动技术,比如hash传递,票据传递等,gMSA利用,WSUS利用,针对Azure AD的攻击,以及在内部AD和AzureAD之间的横向移动。
涉及的知识点包括:
Windows凭据介绍
凭据提取
Pass the Hash
Overpass the Hash
Pass the Ticket
gMSA攻击
WSUS利用
SCCM利用
Azure AD攻击
ADFS利用
PTR利用
Azure AD Connect利用
Azure AD to on-prem AD
主要介绍活动目录森林攻击,包括单个森林跨域攻击,以及多个森林跨森林攻击。
涉及的知识点包括:
森林信任介绍
单个森林枚举
Extra SID利用
Printers利用
AD Certificate Services利用
PERSIST1~2
ESC1~8
CVE-2022-26923
MS Exchange
proxylogon
proxyShell
ProxyNotShell
TabShell
跨森林信任介绍
跨森林枚举
入侵其他森林-Extra SID利用
Linked SQL Servers
跨森林Kerberoast
Foreign Security Pricipals利用
ACLs利用
BloodHound详细介绍
介绍域环境权限维持相关的技术,比如黄金票据,白银票据,DCSync,DSRM,ACL权限利用,活动目录证书服务利用等。
涉及的知识点包括:
Golden Tickets
DCSync
Sliver Ticket
msDS-AllowedToDelegateTo
Skeleton Key
DSRM
自定义SSP
AdminSDHolder
ACLs权限利用
Security Descriptors
AD CS
主要介绍前面相关攻击技术的检测及防御。
涉及的知识点包括:
AD Audit
MDI
MDE
HoneyAccount
Applocker
WDAC
Credential guard
LSA protection
......
介绍前面使用到的工具的免杀。
涉及的知识点包括:
Rubeus免杀
PowerView 免杀
mimikatz 免杀
.......
因为攻击和防御技术的持续发展和更新,在课程开发过程如果遇到新的技术,也会添加进去。所以整个课程的内容包括但不限于上述介绍的内容。
“夫武,定功戢兵,故止戈为武”,作为安全专业人员,我们需要了解和学习最新的攻击战术和原理,先于真实的攻击者发现企业网络中存在的安全漏洞和弱点,并在被利用之前进行修复,避免安全事件的发生。作为一个防御者,事件响应人员或者取证分析师,我们也需要了解最新的攻击手段和思路,因为“知彼知己,百战不殆”。
本课程只是作者日常工作和平时技术研究的积累和分享,也有自己踩过的一些坑。希望能将自己学习和积累的东西分享出来,帮助需要的人一起提升和成长,也希望能够帮助企业检测和防御真实的威胁。请勿利用本课程介绍的技术进行未授权的攻击测试。
另外需要说明的是,本课程不是面向零基础(愿意投入精力和时间学习也是没问题的),不包就业,也不包高薪,当然也不割韭菜。
“三人行,则必有我师”,由于作者水平有限,以及技术的快速迭代更新,课程中难免存在疏漏和不当之处,欢迎大家提出建议和反馈。
感兴趣的读者可在B站直接观看:
hxxps[:]//space.bilibili.com/479523742/channel/seriesdetail?sid=3842238
如有侵权请联系:admin#unsafe.sh