中安網(wǎng)星AD域攻防實(shí)踐系列課程第一期于8月30日晚20：00在bilibili順利開播，在小伙伴們的積極支持下，獲得5000+的人氣指數(shù)。

直播課程中，Loong716（中安網(wǎng)星御守實(shí)驗(yàn)室安全研究員）老師為大家講解了AD域在攻防場景下的安全現(xiàn)狀，通過幾個(gè)經(jīng)典案例的分析，帶大家深入AD域的攻防場景，總結(jié)關(guān)鍵的防護(hù)技術(shù)要點(diǎn)。

Loong716老師的講解思路非常清晰，干貨良多，讓許多小伙伴直呼“記不過來”，課程結(jié)束還意猶未盡，在技術(shù)交流群內(nèi)討論得熱火朝天。

小編看完了整場直播課程，獲益匪淺，特意放出學(xué)習(xí)筆記來讓大家參考參考，有錯(cuò)誤的地方也請大家糾正。

# 攻防演練中的經(jīng)典場景?#

案例一

1）攻擊路徑

2）防護(hù)技術(shù)要點(diǎn)

LAN身份驗(yàn)證級別配置不當(dāng)時(shí)，攻擊者可以將Net-Ntlm降級為V1，然后控制Challenge為1122334455667788，使用Responder監(jiān)聽，再使用打印機(jī)漏洞或PetitPetom強(qiáng)制域控對我們發(fā)起請求，獲取Net-NtlmV1 Hash并破解出NTML Hash，進(jìn)而使用Dcsync拿下該域。

案例二

1）攻擊路徑

2）防護(hù)技術(shù)要點(diǎn)

難點(diǎn)問題：在獲取Web服務(wù)器的webshell后，用免殺的exe進(jìn)行C2上線會(huì)被殺軟攔截

解決方案：尋找白名單程序繞過。比如. rundll32調(diào)用url.dll的導(dǎo)出函數(shù)，一些導(dǎo)出函數(shù)的參數(shù)可以直接執(zhí)行程序

-

難點(diǎn)問題：在橫向移動(dòng)過程中使用psexec和wmiexec被殺軟攔截

解決方案：wmiexec可以將命令執(zhí)行結(jié)果輸出到注冊表通過wmic取回，調(diào)用Win32_ScheduledJob取代Win32_Process2等。psexec可以替換上傳的服務(wù)exe程序進(jìn)行防御規(guī)避

-

難點(diǎn)問題：殺軟監(jiān)控lsass進(jìn)程，無法抓取憑據(jù)

解決方案：通過RPC調(diào)用

AddSecurityPackage加載SSP來繞過

?

案例三

1）攻擊路徑

2）防護(hù)技術(shù)要點(diǎn)

難點(diǎn)問題：掃描88、389端口找到的設(shè)備可能是域控或其它設(shè)備（如vcenter）

解決方案：通過LDAP的namingcontexts來進(jìn)一步判斷

-

難點(diǎn)問題：在拿下域控后如何快速尋找目標(biāo)系統(tǒng)

解決方案：通過對關(guān)鍵人物或OU下發(fā)組策略，上線目標(biāo)機(jī)器，搜集敏感信息

?

案例四

1）攻擊路徑

2）?防護(hù)技術(shù)要點(diǎn)

難點(diǎn)問題：殺毒軟件會(huì)對永恒之藍(lán)進(jìn)行攔截，所以無法使用MS17-010進(jìn)行橫向移動(dòng)

解決方案：利用CVE-2017-0146 (EternalChampion)和CVE-2017-0143 (EternalRomance)來代替永恒之藍(lán)，通過上傳exe并執(zhí)行的方式來拿到目標(biāo)的權(quán)限。這個(gè)方法需要可匿名訪問的命名管道或一個(gè)普通用戶憑據(jù)。

?

案例五

1）攻擊路徑

2）防護(hù)技術(shù)要點(diǎn)

難點(diǎn)問題：HTTP協(xié)議默認(rèn)不攜帶憑據(jù)，HTTP請求只有信任域（域內(nèi)DNS記錄）攜帶憑據(jù)，

解決方案：通過域內(nèi)成員的權(quán)限在內(nèi)網(wǎng)增加一條DNS記錄

-

難點(diǎn)問題：標(biāo)準(zhǔn)的黃金票據(jù)僅限于其創(chuàng)建的子域，無法利用其跨越到其它域。

解決方案：域林中管理員默認(rèn)在每個(gè)域管組里，可以將Enterprise Admins組的SID添加到Golden Ticket中，或通過直接修改SIDHistory、利用Trustkey構(gòu)造信任票據(jù)的方法來完成同一域林的跨域

-

難點(diǎn)問題：kerberoasting可能被一些防護(hù)軟件監(jiān)控

解決方案：使用用戶名作為sname，而不是使用spn作為sname來請求目標(biāo)服務(wù)的服務(wù)票據(jù)，來繞過一些防護(hù)軟件的不完善的規(guī)則

-

難點(diǎn)問題：拿到關(guān)鍵人物賬戶的hash后，發(fā)現(xiàn)無法解密出明文，目標(biāo)系統(tǒng)也不能使用哈希傳遞。

解決方案：使用MS-SAMR協(xié)議中的SamrSetInformationUser()直接重置目標(biāo)用戶密碼，登錄系統(tǒng)后再還原為原來的hash

# 橫向移動(dòng)殺傷鏈與技戰(zhàn)法?#

1.????滲透測試中三個(gè)最根本的橫向移動(dòng)手法：端口漏洞、信息收集、集權(quán)設(shè)備。

2.????橫向移動(dòng)的兩個(gè)關(guān)鍵點(diǎn)：獲取憑據(jù)、執(zhí)行命令

3.????掃描常見端口來定位橫向移動(dòng)方向：

• 常見的Web服務(wù)端口如80、443、8080、7001。

• 常見的數(shù)據(jù)庫服務(wù)端口如1433、1521、3306、6379等。

• 系統(tǒng)服務(wù)端口如22、445、3389等。

4.????進(jìn)行信息收集的途徑：

• 瀏覽器書簽、歷史記錄、記住的密碼

• 運(yùn)維管理工具xshell、navicat等保存的密碼

• 磁盤上的包含敏感信息的文件

• 社交工具的聊天記錄

5.????常見的集權(quán)設(shè)備：

• Active Directory域服務(wù)

• 堡壘機(jī)

• vcenter

# AD域基本介紹?#

1.????域：一個(gè)資源對象（PC、服務(wù)器、用戶、郵箱、打印機(jī)、共享文件夾等）的集合。

2.????域的作用：身份驗(yàn)證、集權(quán)管理。AD域是當(dāng)前大型企業(yè)實(shí)現(xiàn)辦公內(nèi)網(wǎng)集權(quán)管理的首選方案。

3.????常見計(jì)算機(jī)概念：

• 獨(dú)立服務(wù)器：安裝Windows Server系統(tǒng)后，運(yùn)行該操作系統(tǒng)的計(jì)算機(jī)成為一臺獨(dú)立服務(wù)器，其最明顯的特征就是沒有加入到“域”。

• 成員服務(wù)器：獨(dú)立服務(wù)器添加到“域”后，成為成員服務(wù)器，接受ADDS域服務(wù)的統(tǒng)一管理。

• 域控制器：域控制器中運(yùn)行AD DS服務(wù)，Windows Server2012中域控制器包括3種類型:額外域控制器、域控制器以及只讀控制器。

4. DNS：域環(huán)境中DNS是基石（DNS集成到DC中），網(wǎng)絡(luò)中的計(jì)算機(jī)通過DNS定位域控制器。

5. 工作組：工作組是一組計(jì)算機(jī)的集合，其中的每臺計(jì)算機(jī)獨(dú)自管理。

6．AD和DC：為了方便查找、管理和使用，我們把網(wǎng)絡(luò)中的資源對象井然有序地方在一個(gè)大倉庫中，同時(shí)做好檢索信息，這個(gè)大倉庫就是活動(dòng)目錄數(shù)據(jù)庫（AD庫）。

而存放了AD庫的計(jì)算機(jī)就是域控制器（DC）

6.????用戶：計(jì)算機(jī)中的用戶分為本地用戶賬戶和域用戶賬戶。本地賬戶用于工作組環(huán)境或個(gè)人環(huán)境，域用戶賬戶主要適用于Windows 域環(huán)境。

7.????用戶組：組是計(jì)算機(jī)賬戶或其他域?qū)ο蟮募?，在AD DS域服務(wù)中的組類型分為安全組(Security Group)和通訊組(Distribution Group)。

8.????組策略：組策略是域管理員用來管理企業(yè)中計(jì)算機(jī)的一種方式。它基于域、組織單位，對域、組織單位中的計(jì)算機(jī)和用戶都有效。

9.????從工作組環(huán)境提升到域環(huán)境后，能為企業(yè)帶來的價(jià)值:

• 提升企業(yè)形象。

• 安全性能加強(qiáng)、權(quán)限更加分明。

• 創(chuàng)建和企業(yè)行政管理結(jié)構(gòu)類同的架構(gòu)，管理目標(biāo)明確，和領(lǐng)導(dǎo)層溝通容易。

• 通過管理架構(gòu)部署組策略，通過策略強(qiáng)制(限制)管理客戶端。

• 提升用戶辦公體驗(yàn)

# 總結(jié)?#

以上是小編為大家總結(jié)的AD域攻防實(shí)踐系列課程第一期的內(nèi)容，歡迎小伙伴們分享自己的筆記，加入中安網(wǎng)星AD域技術(shù)群聊和大家一起討論。

另外，AD域攻防實(shí)踐第二期將在9月6日同一時(shí)間，繼續(xù)在中安網(wǎng)星 bilibili直播間開講，關(guān)注“中安網(wǎng)星”公眾號回復(fù)“AD域”，參與直播不迷路。