『AD域攻防实践』第一期学习笔记

网星安全（中安网星）

于 2021-09-01 15:50:04 发布

阅读量614

点赞数 1

文章标签： windows

本文链接：https://blog.csdn.net/ZAWX_NETSTARSEC/article/details/120041183

版权

本文是中安网星AD域攻防实践第一期课程的学习笔记，涵盖攻防演练的经典场景、横向移动的技战法和AD域基本介绍。讲解了如何通过案例分析进行AD域的防护，涉及NTLM降级攻击、免杀C2上线、域控防护等关键点。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

中安网星AD域攻防实践系列课程第一期于8月30日晚20：00在bilibili顺利开播，在小伙伴们的积极支持下，获得5000+的人气指数。

直播课程中，Loong716（中安网星御守实验室安全研究员）老师为大家讲解了AD域在攻防场景下的安全现状，通过几个经典案例的分析，带大家深入AD域的攻防场景，总结关键的防护技术要点。

Loong716老师的讲解思路非常清晰，干货良多，让许多小伙伴直呼“记不过来”，课程结束还意犹未尽，在技术交流群内讨论得热火朝天。

小编看完了整场直播课程，获益匪浅，特意放出学习笔记来让大家参考参考，有错误的地方也请大家纠正。

# 攻防演练中的经典场景 #

案例一

1）攻击路径

2）防护技术要点

LAN身份验证级别配置不当时，攻击者可以将Net-Ntlm降级为V1，然后控制Challenge为1122334455667788，使用Responder监听，再使用打印机漏洞或

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

网星安全（中安网星）

关注关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

参与评论您还未登录，请先登录后发表或查看评论

博客

ITDR何以成为IAM的最佳搭档？

07-17

389

具体而言，正如 EDR 对端点设备的行为进行分析，ITDR通过AI 和机器学习技术，对以Active Directory 和 Okta为代表的身份基础设施上交换的身份验证流量的行为进行分析。即使您能够使用IAM等尽可能适当地设置公司的身份基础设施环境，毫不夸张地说，想要完全阻止攻击者通过巧妙的方法入侵您的身份基础设施是不可能的。此外，在多AD和域环境中实现灵活的身份访问管理的Okta等各种IAM解决方案的采用和引入，以及向Azure AD的迁移以及SSO向SaaS的迁移也在逐步发展。

博客

K8S安全风险及防护建议

07-17

1125

例如，攻击者可以创建一个特权容器，该容器可以访问宿主机上的资源，并在该容器内执行命令，从而使其获得更高的权限。事中，通过融合图计算、身份欺骗等技术，对K8S进行全方位的监测，及时发现针对K8S的漏洞利用、身份窃取等风险，在遭受攻击的第一时间及时发现攻击者，对攻击行为进行阻断。比如攻击者可通过容器中运行的SSH服务执行命令，如果攻击者通过暴力破解或者其他方法获得了容器的有效凭证，他们就可以通过SSH获得对容器的远程访问。但同时，K8S也因其高度复杂的架构和众多组件，成为了攻击者攻击的目标之一。

博客

攻防演练中红队常用的攻击方法之横向移动（下）

07-05

478

启动域防火墙能阻止DCOM对象实例化。通过以上手段，我们能有效防止黑客从系统中窃取明文密码，但是当黑客窃取到了用户凭据，使用哈希传递等手段登录系统时，并没有一个能彻底解决哈希传递的方法，我们只能减轻这种攻击。尤其是在企业等组织机构中，由于内网的复杂性，攻击团伙的手段也比较高超，一般的防护手段不能有效地防范横向移动攻击，要保护企业内网安全，最好选择专业的运营团队。如果攻击者已进入内网，为了防止他横向移动到更多主机，我们可以监测内网中活跃的用户账号，将这些账户设置为高风险账户，降低其权限，阻止其使用内网资源。

博客

攻防演练中红队常用的攻击方法之横向移动（中）

07-05

558

博客

攻防演练中红队常用的攻击方法之横向移动（上）

07-05

1027

实际上，在横向移动攻击过程中，攻击者不仅可以运用相关技术与思路访问共享文件夹、凭证等敏感信息，也可以通过“横向移动”的方法渗透其它主机，窃取商业数据、财务信息等。除此以外，还能以域控主机为跳板，横向移动到其它域内主机，通过已获取的密码直接登录目标主机，执行远程命令，完成域内控制，进而以关键信息与权限为由，实施勒索行为。此时，黑客会在已控制的普通主机上查找与目标主机和环境相关的信息，获知目标主机开放的端口、存在的漏洞等，然后利用该漏洞渗透目标主机获取凭证，再使用哈希传递、黄金白银票据等方式进行登录。

博客

中安网星版大模型来了！三大关键能力，不输专业红队攻击手

06-29

679

通过已经识别到的攻击对即将发生的攻击进行预警，企业可以提前做好准备，加强系统和网络的安全防护措施，阻止潜在的攻击行为，并保护重要的业务和敏感数据。其次，ITDR提供了风险提示功能。同时凭借自身强大的算力以及庞大的攻击数据样本可以就当前基线配置，进行攻击推演拟合出攻击线路，运营人员可以采取针对性的措施来加固安全防护，斩断攻击路径中的关键节点，保护其关键资产免受攻击的同时避免对业务的流畅性造成影响。通过与预先设定的基线进行比对，模型能够及时发现与正常状态有所偏离的设置，从而识别出潜在的安全漏洞和风险点。

博客

集权设施管理-AD域安全策略（二）

06-14

1475

本文我们探讨了AD域的资源管理、身份验证和策略配置等功能属性，此基础上，更多特性等着我们在企业应用实践中一一探索。同时，AD域在发展得越来越适应企业管理需求时，也面临着更多针对它的独特攻击手法。在大量应用AD域的基础上，我们也应当注重其安全防护建设。

博客

集权设施管理-AD域安全策略（一）

06-14

1429

实际上，域树域林的形成是借助了活动目录强大的拓展性。简单来说，域树、域林是多个域的集合，从概念上来看，域树、域林代表了更大范围的信任联系，能协调更多部门间的通信和资源使用关系，更大程度上提高企业整体的协作效率。除此之外，额外域控还有一个重要作用，就是提高效率，它可以在有许多域用户要求提供服务时，替主域控分担压力，由它来响应部分用户的请求，从而提高企业整体效率。更为棘手的是，假使黑客攻破了域控主机，删除其上存储的全部信息，并破坏域控主机的正常功能，那么即使企业能够检测查杀入侵活动，也无法恢复正常业务功能。

博客

RSAC2023：ITDR成为下一代身份安全平台的关键能力

06-09

214

但在对抗更激烈的攻防场景下，实际的攻击者一定会试图绕过登录，绕过IAM，绕过二次验证，最终一定会获取到一个合法的用户身份实现在内网中横向移动。近几个月，风靡全球的ChatGpt让人们看到，人工智能的发展有了质的飞跃，预示着无限可能，RSA首席执行官Rohit Ghai在RSAC2023上也特别提到了AI对于身份安全变革的重要意义。而ITDR的重心更多的是放在安全这一侧，通过检测用户的真实身份，检测用户是否在盗用凭证发起攻击，从身份认证协议上去解析出攻击者的异常行为，进而实时检测出攻击事件。

博客

集权攻防——身份认证协议之NTLM

06-08

1082

如果用做菜来比喻，那么被加密的数据就是“原材料”，加密密钥就是“秘方”，原理就是“用不同的秘方做出来的菜味道不一样”。当秘方只有客户端和服务端知道，服务端确定用户身份时，只需要用该秘方和客户端做同一盘菜，对比两盘菜的味道，如果一样，那就是真实的客户端。但NTLM的认证方式也不是绝对安全的，基于密码哈希的认证方式，让攻击者在不需要获取明文密码的情况下，也能直接传递密码哈希通过认证。由上可见，无论哪种情况下，NTLM在认证过程中，都没有在网络上单独传递密码，这减少了密码泄露的可能，提高了系统安全性。

博客

从RPC协议看集权设施防护

06-08

636

相比于HTTP等传输协议，RPC将数据序列化成二进制，直接在传输层上与服务端交互，极大地提高了传输效率。并且使用存根来管理RPC的底层过程，让客户端和服务端的交互变得透明，从而为用户提供了方便。不过，抛开传输效率的便利，RPC中同样也存在很多安全威胁，比如Zerologon(CVE-2020-1472)、Printnightmare(CVE-2021-34527)等，攻击者利用这些漏洞，可以直接通过RPC协议连接服务器，并向其发送恶意代码，从而获取控制目标服务器的权限，这也是使用协议时要提防的一个方向。

博客

集权设施攻防兵法：实战攻防之堡垒机篇

06-06

1072

2.2021年攻防演练期间，某互联网公司堡垒机遭受攻击，攻击者利用任意用户登录漏洞对齐治堡垒机实施攻击，获得齐治堡垒机的后台管理权限，控制了大量的内网机器。1.能够针对堡垒机的敏感以及异常操作进行实时监测，如漏洞利用、异常时间点认证、异地登录、访问非常用资源等，让管理员在第一时间感知攻击者对堡垒机的漏洞利用、执行的敏感操作。1）攻击者首先通过堡垒机的历史漏洞甚至是堡垒机的0day漏洞对堡垒机实施攻击，比如通过绕过认证直接访问堡垒机的web控制台，获取堡垒机的web管理权限。

博客

2023年「身份安全」行业白皮书、研究报告、案例合集速览！

06-01

360

随着企业将其业务向数字化、云和移动化转变，身份的数量、类型都呈爆炸式增长。这也带来了全新维度的威胁格局，如果保护不当，可能会为攻击者提供更多可利用的攻击路径。虽然许多工具和技术旨在保障身份安全，但身份威胁检测和响应（ITDR）技术为企业提供了其武器库中的关键新武器，通过结合。等方式，可以发现凭据窃取、特权滥用以及其他与身份相关的攻击威胁和潜在风险。为了帮助大家更好地了解ITDR技术，我们搜集了。2）ITDR发展趋势及典型应用。1）ITDR基础知识与概述。3）ITDR实践案例研究。

博客

集权攻击系列：如何利用PAC新特性对抗黄金票据？

06-01

873

2021年11月9日，微软发布了针对CVE-2021-42287漏洞的修复补丁，跟据微软的文章描述，此次更新后，在PAC中添加了一个新属性PAC_REQUESTORKDC将会在PAC的PAC_REQUESTOR结构体填充原始请求者的SID，并且在TGS_REQ过程验证请求用户(cname)是否和PAC_REQUESTOR中的SID相匹配。在后续的TGS请求中KDC会将TGT中的PAC直接复制到返回给用户的ST票据中，最终由服务向KDC申请验证该PAC来确认用户是否有权访问该服务。微软将整个更新过程分为。

博客

常见的ACL攻击方式，集权设施如何防御攻击？

06-01

1093

ace_type为“OA”，对应ACCESS_ALLOWED_OBJECT_ACE_TYPE，表示是ALLOW类型的ACE，rights字段为“WP”，表示目录服务对象访问权限，对于权限值是ADS_RIGHT_DS_WRITE_PROP，表示目录对象写权限，object_guid表示权限的guid，account_sid标识这条ACE受托人的SID字符串。约束委派和非约束委派的配置需要域管理员对相关属性进行配置，微软为了给域用户提供更大的灵活性，让域内资源所有者能够配置哪些账户是可信的，并允许委派给他们。

博客

[原创]集权设施保护之LDAP协议

05-30

887

系统中的树还有一个不一样的地方，就是各种不同品种的树叶可以长在一棵树上，这个不同品种的树叶是由系统中多种多样的资源对象来充当的，所以我们可以想象一棵长满了用户、计算机和打印机的树。树叶内容主要是描述这片树叶的颜色、形状、气味等独特的信息，对应到系统中，就是资源的属性，比如用户的属性有性别，身份证号，电话等，计算机的属性有操作系统类型、账号密码等。LDAP中将域名拆分开，形成树根，系统中的树根叫做DC，比如在test20.local域下，树根为DC=test20，DC=local。

博客

身份集权设施保护之Kerberos协议

05-30

1008

Kerberosting需要选择简单的key，在三种爆破对象中，也就是用户账户，机器账户，服务账户，在比较安全的域中用户账户的安全性会比较高，而机器账户密码是随机生成的，而且三十天更换一次，只有服务账户会出现弱口令的情况，因为在服务部署的时候往往会产生一个固定密码，而且可能从来不去改，所以优先选择服务账户，机器账户也是特殊的服务账户，因为它也有SPN，SPN是唯一标识符，就像下图中的格式，可以理解为代表了特定的服务，SPN只要符合格式，不管服务存不存在都可以用来进行密码爆破。而该属性默认是没有勾选上的。

博客

集权安全 | 域渗透中的 DCSync技术分析

05-26

1333

DCSync是AD域渗透中常用的凭据窃取手段，默认情况下，域内不同DC每隔15分钟会进行一次数据同步，当一个DC从另外一个DC同步数据时，发起请求的一方会通过目录复制协议（MS- DRSR）来对另外一台域控中的域用户密码进行复制，DCSync就是利用这个原理，“模拟”DC向真实DC发送数据同步请求，获取用户凭据数据，由于这种攻击利用了Windows RPC协议，并不需要登陆域控或者在域控上落地文件，避免触发EDR告警，因此DCSync时一种非常隐蔽的凭据窃取方式。

博客

集权攻击-无权限条件下AD域凭据获取与利用分析

05-25

1374

我们简单回顾服务票据的请求流程，当域内用户去请求域内某个服务资源时，先会通过AS-REQ进行身份认证，通过后会返回TGT给用户，用户使用TGT发起TGS请求，KDC会返回一个用对应服务账户的Hash加密的服务票据。那么如果我们有一个域用户的凭据可以正常申请TGT，就可以申请指定服务的TGS票据，因该票据使用服务账户的Hash进行加密,当获取到加密后的TGS票据后，即可根据离线爆破得到服务账户的密码，这样请求服务账号票据进行离线爆破的攻击手法叫做Kerberoasting。而该属性默认是没有勾选上的。

博客

集权设施攻防兵法：实战攻防之Exchange篇

05-25

1048

比如，它可以配置邮箱委托，将某个重要的邮箱委托到他所控制的一个不常用的邮箱，这样就可以在不需要凭据的情况下任意查看那个重要邮箱的所有邮件。然而，它也时常受到攻击。比如，在没有凭据的情况下，攻击者可能会尝试利用Proxylogon、Proxyshell等攻击链对Exchange实施攻击，如果攻击成功，能够拿到Exchange的system权限。2.针对CVE漏洞的利用实时监测，目前已经覆盖对Exchange的所有历史漏洞进行实时的攻击检测，确保在针对Exchange的任何漏洞攻击发生时可以看到攻击行为。