『AD域k防实践』第一期学习笔记

中安网星AD域k防实践系列课程第一期于8月30日晚20：00在bilibili顺利开播，在小伙伴们的积极支持下，获得5000+的人气指数。

直播课程中，Loong716(中安网星御守实验室安全研究员)老师为大家讲解了AD域在k防场景下的安全现状，通过几个经典案例的分析，带大家深入AD域的k防场景，总结关键的防护技术要点。

Loong716老师的讲解思路非常清晰，干货良多，让许多小伙伴直呼“记不过来”，课程结束还意犹未尽，在技术交流群内讨论得热火朝天。

小编看完了整场直播课程，获益匪浅，特意放出学习笔记来让大家参考参考，有错误的地方也请大家纠正。

# k防演练中的经典场景 #

案例一

1)k击路径

2)防护技术要点

LAN身份验证级别配置不当时，k击者可以将Net-Ntlm降级为V1，然后控制Challenge为1122334455667788，使用Responder监听，再使用打印机漏洞或PetitPetom强制域控对我们发起请求，获取Net-NtlmV1 Hash并破解出NTML Hash，进而使用Dcsync拿下该域。

案例二

1)k击路径

2)防护技术要点

难点问题：在获取Web服务器的webshell后，用免杀的exe进行C2上线会被杀软拦截

解决方案：寻找白名单程序绕过。比如. rundll32调用url.dll的导出函数，一些导出函数的参数可以直接执行程序

-

难点问题：在横向移动过程中使用psexec和wmiexec被杀软拦截

解决方案：wmiexec可以将命令执行结果输出到注册表通过wmic取回，调用Win32_ScheduledJob取代Win32_Process2等。psexec可以替换上传的服务exe程序进行防御规避

-

难点问题：杀软监控lsass进程，无法抓取凭据

解决方案：通过RPC调用

AddSecurityPackage加载SSP来绕过

案例三

1)k击路径

2)防护技术要点

难点问题：扫描88、389端口找到的设备可能是域控或其它设备(如vcenter)

解决方案：通过LDAP的namingcontexts来进一步判断

-

难点问题：在拿下域控后如何快速寻找目标系统

解决方案：通过对关键人物或OU下发组策略，上线目标机器，搜集敏感信息

案例四

1)k击路径

2) 防护技术要点

难点问题：杀毒软件会对永恒之蓝进行拦截，所以无法使用MS17-010进行横向移动

解决方案：利用CVE-2017-0146 (EternalChampion)和CVE-2017-0143 (EternalRomance)来代替永恒之蓝，通过上传exe并执行的方式来拿到目标的权限。这个方法需要可匿名访问的命名管道或一个普通用户凭据。

案例五

1)k击路径

2)防护技术要点

难点问题：HTTP协议默认不携带凭据，HTTP请求只有信任域(域内DNS记录)携带凭据，

解决方案：通过域内成员的权限在内网增加一条DNS记录

-

难点问题：标准的黄金票据仅限于其创建的子域，无法利用其跨越到其它域。

解决方案：域林中管理员默认在每个域管组里，可以将Enterprise Admins组的SID添加到Golden Ticket中，或通过直接修改SIDHistory、利用Trustkey构造信任票据的方法来完成同一域林的跨域

-

难点问题：kerberoasting可能被一些防护软件监控

解决方案：使用用户名作为sname，而不是使用spn作为sname来请求目标服务的服务票据，来绕过一些防护软件的不完善的规则

-

难点问题：拿到关键人物账户的hash后，发现无法解密出明文，目标系统也不能使用哈希传递。

解决方案：使用MS-SAMR协议中的SamrSetInformationUser()直接重置目标用户密码，登录系统后再还原为原来的hash

# 横向移动杀伤链与技战法 #

1.    渗透测试中三个最根本的横向移动手法：端口漏洞、信息收集、集权设备。

2.    横向移动的两个关键点：获取凭据、执行命令

3.    扫描常见端口来定位横向移动方向：

• 常见的Web服务端口如80、443、8080、7001。

• 常见的数据库服务端口如1433、1521、3306、6379等。

• 系统服务端口如22、445、3389等。

4.    进行信息收集的途径：

• 浏览器书签、历史记录、记住的密码

• 运维管理工具xshell、navicat等保存的密码

• 磁盘上的包含敏感信息的文件

• 社交工具的聊天记录

5.    常见的集权设备：

• Active Directory域服务

• 堡垒机

• vcenter

# AD域基本介绍 #

1.    域：一个资源对象(PC、服务器、用户、邮箱、打印机、共享文件夹等)的集合。

2.    域的作用：身份验证、集权管理。AD域是当前大型企业实现办公内网集权管理的首选方案。

3.    常见计算机概念：

• 独立服务器：安装Windows Server系统后，运行该操作系统的计算机成为一台独立服务器，其最明显的特征就是没有加入到“域”。

• 成员服务器：独立服务器添加到“域”后，成为成员服务器，接受ADDS域服务的统一管理。

• 域控制器：域控制器中运行AD DS服务，Windows Server2012中域控制器包括3种类型:额外域控制器、域控制器以及只读控制器。

4. DNS：域环境中DNS是基石(DNS集成到DC中)，网络中的计算机通过DNS定位域控制器。

5. 工作组：工作组是一组计算机的集合，其中的每台计算机独自管理。

6．AD和DC：为了方便查找、管理和使用，我们把网络中的资源对象井然有序地方在一个大仓库中，同时做好检索信息，这个大仓库就是活动目录数据库(AD库)。

而存放了AD库的计算机就是域控制器(DC)

6.    用户：计算机中的用户分为本地用户账户和域用户账户。本地账户用于工作组环境或个人环境，域用户账户主要适用于Windows 域环境。

7.    用户组：组是计算机账户或其他域对象的集合，在AD DS域服务中的组类型分为安全组(Security Group)和通讯组(Distribution Group)。

8.    组策略：组策略是域管理员用来管理企业中计算机的一种方式。它基于域、组织单位，对域、组织单位中的计算机和用户都有效。

9.    从工作组环境提升到域环境后，能为企业带来的价值:

• 提升企业形象。

• 安全性能加强、权限更加分明。

• 创建和企业行政管理结构类同的架构，管理目标明确，和领导层沟通容易。

• 通过管理架构部署组策略，通过策略强制(限制)管理客户端。

• 提升用户办公体验

# 总结 #

以上是小编为大家总结的AD域k防实践系列课程第一期的内容，欢迎小伙伴们分享自己的笔记，加入中安网星AD域技术群聊和大家一起讨论。

另外，AD域k防实践第二期将在9月6日同一时间，继续在中安网星 bilibili直播间开讲，关注“中安网星”公众号回复“AD域”，参与直播不迷路。