AD域攻防权威指南电子书

序一

序二

赞誉

前言

第1章 AD域及Microsoft Entra ID

1.1 AD域基础

1.1.1 核心概念

1.1.2 组策略

1.1.3 LDAP

1.1.4 SPN

1.1.5 Kerberos

1.2 Microsoft Entra ID基础

1.2.1 核心概念

1.2.2 Microsoft Entra内置角色

第2章 AD域及Microsoft Entra ID分析

2.1 AD域配置管理工具SCCM详解

2.1.1 SCCM介绍

2.1.2 利用SCCM进行信息枚举

2.1.3 利用SCCM进行横向移动

2.1.4 利用SCCM进行凭据窃取

2.1.5 利用SCCMHunter进行SCCM分析

2.1.6 利用MalSCCM进行SCCM分析

2.1.7 利用SharpSCCM进行SCCM分析

2.2 本地AD域分析

2.2.1 利用BloodHound进行AD域分析

2.2.2 利用AdFind进行AD域分析

2.2.3 利用AD Explorer进行AD域分析

2.2.4 利用SharpADWS进行AD域分析

2.2.5 利用SOAPHound进行AD域分析

2.3 Microsoft Entra ID分析

2.3.1 Microsoft Entra ID分析工具AzureHound详解

2.3.2 使用Azure AD PowerShell进行信息枚举

2.3.3 使用Azure PowerShell进行信息枚举

2.3.4 使用Azure CLI进行信息枚举

第3章 获取AD域权限

3.1 域用户密码策略

3.1.1 常见密码策略

3.1.2 获取密码策略的手段

3.1.3 域用户密码策略解析

3.1.4 查找被禁用用户

3.2 利用Kerberos协议进行密码喷洒

3.2.1 使用ADPwdSpray.py进行域密码喷洒

3.2.2 利用dsacls进行密码喷洒

3.2.3 检测利用Kerberos协议实施的密码喷洒

3.3 Microsoft Entra ID密码喷洒

3.3.1 Microsoft Entra ID密码策略

3.3.2 通过MSOnline PowerShell获取密码策略

3.3.3 使用MSOLSpray对Azure AD租户进行密码喷洒

3.3.4 使用Go365对Microsoft 365用户进行密码喷洒

3.3.5 防御Microsoft Entra ID密码喷洒

3.4 利用LDAP破解账户密码

3.4.1 使用DomainPasswordSpray通过LDAP进行密码喷洒

3.4.2 域外Linux环境中通过LDAP爆破用户密码

3.4.3 检测利用LDAP实施的密码爆破

3.5 AS-REP Roasting离线密码破解

3.5.1 错误配置导致AS-REP Roasting攻击

3.5.2 检测AS-REP Roasting攻击

3.5.3 防御AS-REP Roasting攻击

3.6 Kerberoasting离线密码破解

3.6.1 Kerberoasting攻击原理

3.6.2 Kerberoasting攻击流程

3.6.3 实验环境配置

3.6.4 获取访问指定服务的票据

3.6.5 转换不同格式的票据

3.6.6 离线破解本地票据

3.6.7 Kerberoasting后门

3.6.8 Kerberoasting攻击的检测及防御

3.7 FAST

3.7.1 FAST配置

3.7.2 绕过FAST保护

3.7.3 未经预身份验证的Kerberoasting

3.8 域环境中控制指定用户

3.9 特殊机器账户：Windows 2000之前的计算机

3.10 CVE-2020-1472（ZeroLogon）漏洞利用

3.10.1 检测目标域控ZeroLogon漏洞

3.10.2 域内Windows环境中使用Mimikatz执行ZeroLogon攻击

3.10.3 域外执行ZeroLogon攻击

3.10.4 恢复域控机器账户密码

3.10.5 检测ZeroLogon攻击

3.10.6 防御ZeroLogon攻击

第4章 域信任

4.1 域信任基础

4.1.1 域信任原理

4.1.2 TDO

4.1.3 GC

4.2 多域与单域Kerberos认证的区别

4.3 林内域信任中的Kerberos通信

4.4 林间域信任中的Kerberos通信

4.5 信任技术

4.5.1 域信任类型

4.5.2 域信任路径

4.5.3 林内域信任攻击

4.5.4 林间域信任攻击

第5章 Kerberos域委派

5.1 无约束委派

5.1.1 无约束委派原理

5.1.2 查询无约束委派

5.1.3 配置无约束委派账户

5.1.4 利用无约束委派和Spooler打印机服务获取域控权限

5.1.5 防御无约束委派攻击

5.2 约束委派

5.3 基于资源的约束委派

5.4 绕过委派限制

5.4.1 手动添加SPN绕过委派限制

5.4.2 CVE-2020-17049（Kerberos Bronze Bit）漏洞利用

第6章 ACL后门

6.1 在AD中滥用ACL/ACE

6.2 利用GenericAll权限添加后门

6.3 利用WriteProperty权限添加后门

6.4 利用WriteDacl权限添加后门

6.5 利用WriteOwner权限添加后门

6.6 利用GenericWrite权限添加后门

6.7 通过强制更改密码设置后门

6.8 通过GPO错配设置后门

6.9 SPN后门

6.10 利用Exchange的ACL设置后门

6.11 利用Shadow Admin账户设置后门

第7章 AD CS攻防

7.1 AD CS基础

7.1.1 证书服务的应用场景和分类

7.1.2 证书模板和注册

7.1.3 获取CA信息

7.2 AD CS的常用攻击与防御手法

7.2.1 ESC1：配置错误的证书模板

7.2.2 ESC2：配置错误的证书模板

7.2.3 ESC3：错配证书请求代理模板

7.2.4 ESC4：证书模板访问控制错配

7.2.5 ESC6：利用EDITF_ATTRIBUTESUBJECTALTNAME2获取权限

7.2.6 ESC7：CA访问控制错配

7.2.7 ESC8：利用PetitPotam触发NTLM Relay

7.2.8 AD域权限提升

7.2.9 利用CA机器证书申请伪造证书

7.2.10 影子凭据攻击

7.2.11 ESC9：无安全扩展

7.2.12 ESC10：弱证书映射

7.2.13 ESC11：RPC中继到AD CS

第8章 Microsoft Entra ID攻防

8.1 AD用户同步到Microsoft Entra ID

8.1.1 创建Windows Server Active Directory环境

8.1.2 在Microsoft Entra管理中心创建混合标识管理员账户

8.1.3 安装配置Microsoft Entra Connect

8.2 防御Microsoft Entra无缝单一登录功能的滥用

8.2.1 防御滥用Microsoft Entra无缝单一登录实施的密码喷洒

8.2.2 防御滥用AZUREADSSOACC$账户实施的横向移动

8.3 防御滥用AD DS连接器账户实施的DCSync攻击

8.4 防御滥用Microsoft Entra连接器账户来重置密码

8.5 防御滥用Microsoft Intune管理中心实施的横向移动

8.6 防御滥用Azure内置Contributor角色实施的横向移动