中安网星AD域攻防实践系列课程第一期于8月30日晚20：00在bilibili顺利开播，在小伙伴们的积极支持下，获得5000+的人气指数。

直播课程中，Loong716（中安网星御守实验室安全研究员）老师为大家讲解了AD域在攻防场景下的安全现状，通过几个经典案例的分析，带大家深入AD域的攻防场景，总结关键的防护技术要点。

Loong716老师的讲解思路非常清晰，干货良多，让许多小伙伴直呼“记不过来”，课程结束还意犹未尽，在技术交流群内讨论得热火朝天。

小编看完了整场直播课程，获益匪浅，特意放出学习笔记来让大家参考参考，有错误的地方也请大家纠正。

攻防演练中的经典场景

案例一

1）攻击路径

2）防护技术要点

LAN身份验证级别配置不当时，攻击者可以将Net-Ntlm降级为V1，然后控制Challenge为1122334455667788，使用Responder监听，再使用打印机漏洞或PetitPetom强制域控对我们发起请求，获取Net-NtlmV1 Hash并破解出NTML Hash，进而使用Dcsync拿下该域。

案例二

1）攻击路径

2）防护技术要点

难点问题：在获取Web服务器的webshell后，用免杀的exe进行C2上线会被杀软拦截

解决方案：寻找白名单程序绕过。比如. rundll32调用url.dll的导出函数，一些导出函数的参数可以直接执行程序

-

难点问题：在横向移动过程中使用psexec和wmiexec被杀软拦截

解决方案：wmiexec可以将命令执行结果输出到注册表通过wmic取回，调用Win32_ScheduledJob取代Win32_Process2等。psexec可以替换上传的服务exe程序进行防御规避

-

难点问题：杀软监控lsass进程，无法抓取凭据

解决方案：通过RPC调用

AddSecurityPackage加载SSP来绕过

案例三

1）攻击路径

2）防护技术要点

难点问题：扫描88、389端口找到的设备可能是域控或其它设备（如vcenter）

解决方案：通过LDAP的namingcontexts来进一步判断

-

难点问题：在拿下域控后如何快速寻找目标系统

解决方案：通过对关键人物或OU下发组策略，上线目标机器，搜集敏感信息

案例四

1）攻击路径

2） 防护技术要点

难点问题：杀毒软件会对永恒之蓝进行拦截，所以无法使用MS17-010进行横向移动

解决方案：利用CVE-2017-0146 (EternalChampion)和CVE-2017-0143 (EternalRomance)来代替永恒之蓝，通过上传exe并执行的方式来拿到目标的权限。这个方法需要可匿名访问的命名管道或一个普通用户凭据。

案例五

1）攻击路径

2）防护技术要点

难点问题：HTTP协议默认不携带凭据，HTTP请求只有信任域（域内DNS记录）携带凭据，

解决方案：通过域内成员的权限在内网增加一条DNS记录

-

难点问题：标准的黄金票据仅限于其创建的子域，无法利用其跨越到其它域。

解决方案：域林中管理员默认在每个域管组里，可以将Enterprise Admins组的SID添加到Golden Ticket中，或通过直接修改SIDHistory、利用Trustkey构造信任票据的方法来完成同一域林的跨域

-

难点问题：kerberoasting可能被一些防护软件监控

解决方案：使用用户名作为sname，而不是使用spn作为sname来请求目标服务的服务票据，来绕过一些防护软件的不完善的规则

-

难点问题：拿到关键人物账户的hash后，发现无法解密出明文，目标系统也不能使用哈希传递。

解决方案：使用MS-SAMR协议中的SamrSetInformationUser()直接重置目标用户密码，登录系统后再还原为原来的hash

横向移动杀伤链与技战法

1. 渗透测试中三个最根本的横向移动手法：端口漏洞、信息收集、集权设备。

1. 横向移动的两个关键点：获取凭据、执行命令

1. 扫描常见端口来定位横向移动方向：

常见的Web服务端口如80、443、8080、7001。

常见的数据库服务端口如1433、1521、3306、6379等。

系统服务端口如22、445、3389等。

1. 进行信息收集的途径：

浏览器书签、历史记录、记住的密码

运维管理工具xshell、navicat等保存的密码

磁盘上的包含敏感信息的文件

社交工具的聊天记录

1. 常见的集权设备：

Active Directory域服务

堡垒机

vcenter

AD域基本介绍

1. 域：一个资源对象（PC、服务器、用户、邮箱、打印机、共享文件夹等）的集合。

1. 域的作用：身份验证、集权管理。AD域是当前大型企业实现办公内网集权管理的首选方案。

1. 常见计算机概念：

独立服务器：安装Windows Server系统后，运行该操作系统的计算机成为一台独立服务器，其最明显的特征就是没有加入到“域”。

成员服务器：独立服务器添加到“域”后，成为成员服务器，接受ADDS域服务的统一管理。

域控制器：域控制器中运行AD DS服务，Windows Server2012中域控制器包括3种类型:额外域控制器、域控制器以及只读控制器。

1. DNS：域环境中DNS是基石（DNS集成到DC中），网络中的计算机通过DNS定位域控制器。

1. 工作组：工作组是一组计算机的集合，其中的每台计算机独自管理。

6．AD和DC：为了方便查找、管理和使用，我们把网络中的资源对象井然有序地方在一个大仓库中，同时做好检索信息，这个大仓库就是活动目录数据库（AD库）。

而存放了AD库的计算机就是域控制器（DC）

1. 用户：计算机中的用户分为本地用户账户和域用户账户。本地账户用于工作组环境或个人环境，域用户账户主要适用于Windows 域环境。

1. 用户组：组是计算机账户或其他域对象的集合，在AD DS域服务中的组类型分为安全组(Security Group)和通讯组(Distribution Group)。

1. 组策略：组策略是域管理员用来管理企业中计算机的一种方式。它基于域、组织单位，对域、组织单位中的计算机和用户都有效。

1. 从工作组环境提升到域环境后，能为企业带来的价值:

提升企业形象。

安全性能加强、权限更加分明。

创建和企业行政管理结构类同的架构，管理目标明确，和领导层沟通容易。

通过管理架构部署组策略，通过策略强制(限制)管理客户端。

提升用户办公体验

总结

以上是小编为大家总结的AD域攻防实践系列课程第一期的内容，欢迎小伙伴们分享自己的笔记，加入中安网星AD域技术群聊和大家一起讨论。

另外，AD域攻防实践第二期将在9月6日同一时间，继续在中安网星 bilibili直播间开讲，关注“中安网星”公众号回复“AD域”，参与直播不迷路。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！