Active Directory 简介
为什么选择 Active Directory
适用于 Windows 网络环境的目录服务。分布式分层结构,允许集中管理组织的资源:用户、计算机、组、网络设备、文件共享、组策略、设备和信任。 在 Windows域环境 中提供 身份验证(authentication) 和 授权功能(authorization)
设计为向后兼容,许多功能 默认情况下不安全 并且容易出现错误配置 可利用此弱点 纵横移动 并获得未授权访问 近年来 受到越来越多的攻击
本质上是一个相当大的只读数据库,域内的用户都可以访问 普通 AD账号 均可用于枚举域并彻底寻找错误配置和缺陷
基于以上 纵深防御策略和仔细规划很重要 关注安全和加固 网络分段 最小权限
Active Directory 使管理员和用户可以轻松查找和使用信息,具有高度可扩展性,每个域支持数百万个对象,并允许随着组织的发展创建额外的域 ![[Active Directory Organization(组织).png]] 了解 Active Directory 的结构和功能 才能更好的了解作为攻击者和防御者的信息
勒索软件将 Active Directory 作为攻击路径的关键部分 例如 PrintNightmare (CVE-2021-34527)和Zerologon (CVE-2020-1472)
为枚举和攻击 Active Directory 奠定基础,深入介绍 AD 的结构和功能,讨论各种 AD 对象,用于管理 AD 的user rights and privileges, 工具,流程。
历史
LDAP 是 Active Directory 的基础,Active Directory 的第一个 beta 版本是在 1997 年。 Windows Server 2003 添加了Forest功能 Windows Server 2008 添加了Active Directory 联合服务 (ADFS) Windows Server 2016 迁移到云、安全增强功能、例如用户访问监控和组管理服务帐户 (gMSA) 运行 Active Directory 的组织需要始终掌握修补和实施修复的能力。作为渗透测试人员,我们的任务是在攻击者之前为我们的客户发现这些漏洞。
多年来的 Active Directory 研究
过去十年,Active Directory 一直是安全研究人员关注的主要领域 从许多工具和大量研究 发现今天仍在使用的常见攻击和技术 时间表 最重要的研究和工具 2021 PrintNightmare漏洞发布 Windows Print Spooler 中的一个远程代码执行缺陷,可用于接管AD环境中的主机。 Shadow Credentials攻击发布 允许低权限用户在合适条件下冒充其他用户和计算机账户,并可提升域中的权限 noPac攻击发布 存在利用条件,允许攻击者从标准域用户账户获得对域的完全控制
2020 ZeroLogon 允许冒充网络中任何未修补的域控制器
2019 harmj0y 在 DerbyCon 上发表了“Kerberoasting Revisited”的演讲,阐述了 Kerberoasting 的新方法。Elad Shamir 发布了一篇博文,概述了在 Active Directory 中滥用基于资源的约束委派 (RBCD) 的技术。BC Security 公司发布了Empire 3.0(现为第 4 版),它是用 Python3 编写的 PowerShell Empire 框架的重新发布,并进行了许多添加和更改。
2018 Lee Christensen 发现了“打印机错误”错误,并发布了SpoolSample PoC 工具,该工具利用此错误强制 Windows 主机通过 MS-RPRN RPC 接口对其他机器进行身份验证。harmj0y 发布了用于攻击 Kerberos的Rubeus 工具包。2018 年末,harmj0y 还发布了博客“Not A Security Boundary: Breaking Forest Trusts”,其中介绍了有关跨森林信任执行攻击的关键研究。DCShadow攻击技术也是由 Vincent LE TOUX 和 Benjamin Delpy 在 Bluehat IL 2018 大会上发布的。平城堡该工具由 Vincent LE TOUX 发布,用于通过查找错误配置和其他可能提高域风险级别的缺陷并生成可用于确定进一步强化环境的方法的报告来执行 Active Directory 的安全审计。
2017 引入了ASREPRoast技术来攻击不需要 Kerberos 预身份验证的用户帐户。_wald0 和harmj0y在 Black Hat 和 DEF CON上发表了关于 Active Directory ACL 攻击“ACE Up the Sleeve”的关键演讲。harmj0y 发布了关于枚举和攻击域信任的“攻击域信任指南”博客文章。
2016 BloodHound作为一种改变游戏规则的工具发布,用于在DEF CON 24上可视化 AD 中的攻击路径。
2015 2015 年发布了一些有史以来最具影响力的 Active Directory 工具。PowerShell Empire 框架已发布。PowerView 2.0作为(现已弃用)PowerTools存储库的一部分发布,该存储库是 PowerShellEmpire GitHub 帐户的一部分。DCSync 攻击最初由 Benjamin Delpy 和 Vincent Le Toux 作为mimikatz工具的一部分发布。此后,它已包含在其他工具中。引入了 CrackMapExec 的第一个稳定版本((v1.0.0) 。Sean Metcalf 在美国黑帽大会上发表了关于 Kerberos 无约束委派的危险的演讲,并发布了一篇关于该主题的优秀博客文章。Impacket工具包也于 2015 年发布。这是 Python 工具的集合,其中许多可用于执行 Active Directory 攻击。截至 2022 年 1 月,它仍在积极维护中,并且是大多数渗透测试人员工具包的关键部分。
2014 Veil-PowerView 首次发布。该项目后来成为PowerSploit框架的一部分,作为(不再受支持的)PowerView.ps1 AD 侦察工具。Kerberoasting 攻击最初是在 2014 年 SANS Hackfest的Tim Medin会议上提出的。
2013 Responder工具由Laurent Gaffie 发布。Responder 是一种用于在 Active Directory 网络上毒化 LLMNR、NBT-NS 和 MDNS 的工具。它可用于获取密码哈希并执行 SMB 中继攻击(与其他工具结合使用时)以在 AD 环境中横向和纵向移动。多年来,它已经有了长足的发展,截至 2022 年 1 月,它仍然受到积极支持(添加了新功能)。
活动目录结构
Active Directory 缺陷和错误配置通常可用于打点、在网络中纵横移动、未授权访问受保护的资源,例如数据库、文件共享、源代码等。 基本AD用户账户 域计算机 域用户 域组信息 组织单位(Organizational Units) 默认域策略 功能域级别(Functional Domain Levels) 密码策略 组策略对象(GPO) 域信任 访问控制列表(ACL)