一、黑客眼中的AD
AD域是攻击者经常攻击的目标,因为AD域作为企业的核心身份验证和授权系统,攻击AD域可以使攻击者获得系统内所有计算机和用户的权限,从而轻松获取敏感信息和控制企业系统。
另外,AD域内存在众多的计算机资产,如果某一台计算机失陷,攻击者往往会利用这台计算机作为跳板机横向渗透到其他计算机,直到拿到域管权限,最终控制整个AD域。
域控存在很多漏洞,并且大多都是高危,这也是AD域经常遭受攻击的原因。因此,漏洞在很大程度上给了攻击者攻击AD域的契机,同时也提升了攻击的效率。
域内漏洞CVE-2020-1472、CVE-2021-42287&42278、CVE-2021-1675/CVE-2021-34527、CVE-2019-1040、CVE-2022–26923、ms14-068等被攻击者经常利用,攻击者原本只有一个普通域用户权限,但是通过利用漏洞,往往能够快速地获得一个高权限,进行接下来的攻击流程。
一般地,如果攻击者从外网通过web系统漏洞或钓鱼进入内网之后,首先会进行信息收集,看是否存在域环境:
1)信息收集,获取域环境相关信息:
内网环境是否存在AD域
当前所拥有的权限是什么
域控在哪里
域控存在哪些漏洞
...
2)漏洞利用,获取权限:
通过对漏洞进行利用,将一个普通域成员权限账户,提升至更高权限甚至域管权限。
3)横向移动,获取资产:
攻击的目的是为了获取敏感数据