域渗透实战:从零理解Active Directory攻击路径与防御
1. 项目概述:从零开始理解域渗透的战场
如果你刚接触内网安全,听到“域渗透”这个词可能会觉得既神秘又遥远,感觉这是高手们才能玩的游戏。但说实话,我刚开始接触时也是这么想的,直到自己亲手搭建环境、踩过无数坑之后才发现,它更像是一套有明确规则和路径的“闯关游戏”。这个游戏的地图就是域架构,你要扮演的角色可能是误入的访客,也可能是心怀目标的“探索者”,而最终的目标,往往是那座守卫森严的城堡——域控制器。
简单来说,在一个典型的企业内网中,管理员不会给成百上千台电脑挨个设置账号密码,那样效率太低。他们会搭建一个叫“Active Directory”(活动目录,简称AD)的中央管理系统,也就是我们常说的“域”。一旦你的电脑加入了这个域,你的登录认证、权限分配、软件安装策略,甚至USB端口能不能用,都由域控制器说了算。所以,域渗透的核心,本质上就是在这个集中管理的体系里,由外到内、由低到高,逐步获取更高权限,最终掌控整个网络管理核心的过程。
为什么我们要从零开始学这个?因为它是内网安全的基石。无论是进行授权的安全测试,还是理解防御体系,你都得先明白攻击者会怎么想、怎么做。网上很多文章一上来就讲各种高深的漏洞利用,却忽略了最基础的认知地图。结果就是新手照着做可能成功了,但根本不知道自己在做什么,为什么这么做,遇到变通就傻眼。这篇文章,我就想和你聊聊,如何像认识一个新城市一样,先看懂它的域架构地图,了解里面的居民(域用户)和他们的生活规则,最后再规划几条通往市政厅(域控)的可行路线。我们会避开那些华而不实的“神器”炫耀,聚焦于最本质的思路和原理,让你即使在没有自动化工具的情况下,也能知道该往哪里走、该怎么走。
2. 域架构核心概念与攻击面解析
2.1 什么是域?一个生动的城市比喻
你可以把一个“域”想象成一个高度组织化的现代城市。域控制器就是这个城市的市政府兼公安局,它手里有一本全市居民的户口本(AD数据库),记录了每个人的身份信息(用户账户)、家庭住址(计算机账户)、工作单位(组)以及他们能进出哪些大楼、能使用哪些公共设施(权限)。
- 市长与管理员:这个城市有最高管理员,比如
Administrator,相当于市长,拥有至高无上的权力。下面还有各个部门的主管,比如Domain Admins组的成员,他们能管理城市里的大部分事务。 - 普通市民与用户:城市的普通居民就是域用户。他们在市政府登记,获得一个身份(域账号),用这个身份可以在城市里任何一台接入市政系统的电脑(域成员机)上登录和工作。他们的行为受到市政法规(组策略)的约束。
- 建筑与计算机:每一台加入域的电脑或服务器,就像是城市里的一栋建筑。它在市政府也有登记(计算机账户)。市政府可以统一给所有建筑规定安保等级、消防设施(系统配置)。
- 法规与组策略:市政府下发的“红头文件”就是组策略。它可以规定“所有政府办公楼(特定OU)的电脑必须安装某款杀毒软件”,或者“财务部的员工(财务部用户组)禁止使用USB设备”。你提到的热词“域控组策略里面单独给一个用户开usb权限”,就相当于市长特批给某个市民一张USB使用许可证,这通常是通过精细的组策略权限设置实现的。
攻击者进入这个“城市”,目标很明确:拿到市长的权限,或者能冒充市长发号施令。而要达到这个目标,他需要先成为一名“市民”(获得一个域用户身份),然后摸清城市布局(了解域架构),最后找到通往市政府的最短或最隐蔽的路径。
2.2 关键组件与攻击路径映射
理解了这个比喻,我们来看看现实中AD域的几个核心组件,以及它们如何成为攻击的跳板:
- 域控制器:攻击的终极目标。它运行着AD DS服务,存储所有对象数据。拿下域控,就等于控制了整个域。热词中“域控控制器的获取”是渗透的终点站。
- 活动目录数据库:存储在域控上的
NTDS.dit文件。这是整个域的“户口本”,包含所有用户、计算机的密码哈希。获取这个文件,就能离线破解所有密码。 - 域用户与计算机账户:这是攻击者最初需要获取的“合法身份”。一个普通的域用户账号,就是进入内网大门的钥匙。
- 组策略对象:既是管理工具,也可能成为攻击载体。GPO可以推送脚本、部署软件。如果攻击者能篡改GPO,就能让域控自动在所有电脑上执行他的恶意代码。
- 信任关系:如果存在多个域(比如母公司域和子公司域),域之间可能会有信任关系。攻击者从一个域突破后,可以利用信任关系横向移动到另一个域,扩大战果。
- 服务主体名称:很多服务(如HTTP、MSSQL)在域内运行时,会注册SPN。攻击者可以通过查询SPN来发现哪些服务器运行着重要服务,从而针对性地攻击。
攻击面思考:从防御角度看,每一个便于管理的设计,都可能成为攻击面。例如,为了方便管理,管理员可能将大量用户加入本地管理员组,这会导致一台机器被攻破,就能获取大量域用户凭证。又比如,为了兼容老旧系统,域内可能启用脆弱的认证协议,这直接为密码破解打开了方便之门。
3. 信息收集:绘制你的内网地图
在发动任何实质攻击前,花在信息收集上的时间永远都是值得的。你需要知道“城市”的布局、重要机构的位置以及安保的薄弱点。
3.1 基础网络与主机发现
刚进入内网,你可能只有一个IP。第一步是摸清网段和存活主机。
# 使用nmap进行基础扫描(假设你已获得一个立足点) nmap -sn 192.168.1.0/24这条命令会进行Ping扫描,找出存活的主机。但更高级的域渗透中,主机可能禁用了ICMP。此时,可以扫描常见的域控制器端口。
# 扫描可能的域控制器端口 nmap -p 53,88,135,139,389,445,464,636,3268,3269 192.168.1.10-20- 端口88:Kerberos认证,域控必有。
- 端口389:LDAP,用于查询目录信息,域控必有。
- 端口53:DNS,域控通常也作为DNS服务器。
- 端口445:SMB,用于文件共享和远程管理,是信息收集的重要通道。
3.2 域内信息枚举:谁是关键人物?
一旦确认了域控IP,下一步就是向域控“问话”,获取用户、组、计算机等详细信息。这里主要利用LDAP协议。
使用内置命令net:
# 查看域基本信息 net view /domain # 查看域内所有计算机 net view /domain:你的域名 # 查看域用户 net user /domain # 查看域管理员组 net group "Domain Admins" /domain # 查看域控制器 net group "Domain Controllers" /domainnet命令简单直接,但信息不够详细,且容易被日志记录。
使用PowerShell(更强大、更隐蔽):PowerShell是域渗透的“瑞士军刀”。首先,你需要确保当前会话有域权限。
# 获取当前域名称 Get-ADDomain # 获取域内所有用户(显示部分属性) Get-ADUser -Filter * -Properties SamAccountName, DistinguishedName, LastLogonDate | Select-Object SamAccountName, DistinguishedName, LastLogonDate # 获取域内所有计算机 Get-ADComputer -Filter * -Properties Name, OperatingSystem, LastLogonDate | Select-Object Name, OperatingSystem, LastLogonDate # 获取域管理员组成员 Get-ADGroupMember -Identity "Domain Admins" -Recursive # 查询SPN,发现重要服务账户 setspn -T 你的域名 -Q */*通过SPN扫描,你可能会发现像MSSQLSvc/sqlserver.domain.com这样的条目,这代表有一台SQL服务器,其服务账户可能是域用户,攻击该服务账户可能获得域权限。
使用专业工具BloodHound:这是目前最强大的域内关系可视化与攻击路径发现工具。它通过收集域内的用户、组、计算机、权限关系等数据,自动分析出从当前立足点到域管理员的最短路径。
- 数据收集:在已控的域机器上,运行
SharpHound收集器(BloodHound的采集器)。
它会生成一个.\SharpHound.exe -c All.zip文件。 - 数据分析:在攻击者的图形化界面(BloodHound UI)中导入该文件。它会生成一张关系图,并直接告诉你“你可以从A用户,通过B权限,最终成为域管理员”,并给出具体的执行步骤。
注意:
BloodHound的采集活动会产生大量LDAP查询日志,在防守严密的网络中极易触发告警。在实际测试中,需要评估环境,或尝试使用更慢、更隐蔽的采集方式。
3.3 权限与信任关系分析
信息收集不仅是罗列对象,更要分析关系。
- 用户权限:哪些用户对哪些计算机有“本地管理员”权限?这常常是横向移动的关键。
- 组嵌套:一个普通用户是否在某个拥有特殊权限的组里?或者这个组又被嵌套在更高权限的组里?
- ACL:访问控制列表。例如,一个普通用户是否对某个域对象(如另一个用户或计算机账户)有“写入权限”或“重置密码”的权限?这可能导致权限提升。
- 域信任:执行
nltest /domain_trusts可以查看当前域的信任关系。如果有双向信任,那么在另一个域中获取的凭证可能在本域同样有效。
4. 初始立足:获取第一个域用户凭证
在理想情况下,你可能通过钓鱼、漏洞利用等方式直接获得了一个域用户账号和密码。但很多时候,我们需要从一台已控的非域管机器上“榨取”出域凭证。
4.1 本地凭证窃取与破解
如果当前机器有域用户登录过,其凭证可能会缓存在内存或磁盘中。
- Mimikatz:神器中的神器。可以抓取内存中的明文密码或哈希。
重要警告:Mimikatz行为非常激进,会被几乎所有EDR/杀软重点关照。在真实环境中需做免杀或寻找替代方法。privilege::debug # 提升权限 sekurlsa::logonpasswords # 抓取内存密码 - SAM与LSA Secrets:本地存储的密码哈希。可以通过注册表导出
SAM和SYSTEM文件,在本地用mimikatz或secretsdump.py(Impacket套件)解析。 - DPAPI:Windows用于保护加密数据(如浏览器密码、Wi-Fi密码)的接口。如果获取了用户的登录密码或主密钥,就能解密这些数据,有时能发现保存的域凭据。
4.2 网络嗅探与中间人攻击
在内网中,如果网络交换环境不够安全(如存在ARP欺骗可能),可以尝试嗅探网络流量,捕获诸如SMB、HTTP Basic等协议的认证哈希。
- Responder/Inveigh:这类工具可以伪装成网络中的各种服务(如LLMNR/NBT-NS解析器、WPAD代理服务器、HTTP/SMB服务器),当用户或系统尝试解析一个不存在的名称时,工具会响应并诱导其向攻击者发起认证,从而捕获Net-NTLMv1/v2哈希。
捕获到的哈希可以被用于“传递哈希”攻击,或者如果强度不够,可以被离线破解。热词中提到的“NTP同步错误”,虽然不直接是攻击,但反映了域内时间同步服务的重要性,而时间同步(NTP/NetTime)在某些配置下也可能存在安全问题。python Responder.py -I eth0 -wrf
4.3 利用配置错误与弱口令
这是最常见、最有效的初始突破方式。
- 密码喷洒:针对枚举出的所有域用户,尝试用几个常见的弱密码(如
Company@2024、Winter2024!、Password1)进行登录。这与爆破不同,爆破是针对一个用户试很多密码,容易被锁定;喷洒是针对很多用户试少数密码,不易触发锁定策略。 - 默认口令与空口令:测试服务账户、老旧系统账户的默认口令,或者管理员疏忽设置的空口令。
- 信息泄露:在共享文件夹、内部Wiki、代码仓库、员工邮箱中,可能无意间包含了账户密码信息。
实操心得:在内部测试中,我经常发现运维人员为了方便,在一些自动化脚本里硬编码了域账号密码。通过查找服务器上的
.ps1,.bat,.vbs,.config,.xml文件,用findstr或grep搜索“password”、“pwd”、“cred”等关键词,往往有意外收获。
5. 横向移动:在域内扩大控制范围
拿到一个普通域用户权限后,目标是在域内控制更多机器,特别是那些高价值目标(如运维人员的电脑、文件服务器、数据库服务器),并最终获取域管理员权限。
5.1 凭证传递与哈希传递
这是域内最经典的横向移动技术。
- 密码传递:如果你有用户的明文密码,可以直接用它来访问网络资源或执行命令。
# 使用Impacket的psexec.py python psexec.py 域名/用户:密码@目标IP - 哈希传递:很多时候你只能拿到密码的NTLM哈希(一串十六进制字符串),而不是明文。在Windows中,许多服务(如SMB、WMI、WinRM)允许直接使用哈希进行认证,无需明文密码。
# 使用Impacket的smbexec.py进行哈希传递 python smbexec.py -hashes :NTLM哈希 域名/用户@目标IP
新弹出的PowerShell窗口就拥有了该用户的网络身份,可以访问该用户有权访问的网络共享。# 在PowerShell中,可以使用Mimikatz进行PtH mimikatz # sekurlsa::pth /user:用户名 /domain:域名 /ntlm:哈希 /run:powershell.exe
5.2 利用WinRM与WMI进行远程执行
如果目标机器开启了WinRM或WMI服务,且当前用户有权限,可以直接远程执行命令。
- WinRM:
# 建立远程会话 $cred = Get-Credential Enter-PSSession -ComputerName 目标机器名 -Credential $cred # 或者执行单条命令 Invoke-Command -ComputerName 目标机器名 -Credential $cred -ScriptBlock { whoami } - WMI:
Get-WmiObject -Class Win32_Process -ComputerName 目标机器名 -Credential $cred -Filter "Name='calc.exe'" # 或者使用wmic命令 wmic /node:目标机器名 /user:域名\用户 /password:密码 process call create "cmd.exe /c whoami > C:\test.txt"
5.3 利用计划任务与服务
如果可以通过SMB或RPC连接到目标机器的Admin$共享,就可以创建计划任务或服务来执行命令。
# 使用Impacket的atexec.py python atexec.py 域名/用户:密码@目标IP "whoami"这个原理是创建一个计划任务,立即执行命令,然后获取输出并删除任务。
5.4 利用共享与敏感信息搜索
横向移动不一定是远程执行命令。有时,访问一台文件服务器的共享,就能获得巨大收获。
- 网络共享枚举:使用
net view \\目标IP或smbclient -L //目标IP/查看共享。 - 访问共享:重点访问
ADMIN$、C$、IPC$以及任何非默认的共享文件夹。特别是开发、运维、财务部门的共享,里面可能有配置文件、数据库连接字符串、备份文件(可能包含域控备份ntds.dit)、密码本等。 - 本地文件搜索:在已控的机器上,搜索包含“password”、“secret”、“token”、“key”等关键词的文件。
findstr /s /i "password" *.txt *.xml *.config *.ini *.vbs *.ps1 2>nul
6. 权限提升:从普通用户到域管理员
横向移动让你控制更多机器,但权限提升让你在单台机器上获得更高特权,尤其是获得域管理员权限。
6.1 本地权限提升漏洞
在域成员机上,利用系统本地漏洞(如内核漏洞)提升到本地SYSTEM或Administrator权限。虽然这本身不直接给你域管权限,但本地管理员通常可以:
- 抓取该机器上登录过的其他用户(包括域管理员)的凭证。
- 启用WMI、WinRM等远程管理服务,为后续横向移动提供更好跳板。
- 进行令牌模拟(如果本地管理员是域管)。
6.2 域内权限提升漏洞与错误配置
这才是域渗透中权限提升的精髓,往往不依赖于系统漏洞,而是利用AD本身的设计或管理员的配置错误。
Kerberoasting: 服务账户(如运行SQL Server的账户)会注册SPN。域用户可以向域控请求该服务账户的票证。该票证的一部分是用服务账户的密码哈希加密的。攻击者可以请求票证,然后离线暴力破解这部分加密数据,从而获取服务账户的密码。如果该服务账户恰好属于高权限组,就实现了权限提升。
# 使用Rubeus请求所有SPN的TGS票证 .\Rubeus.exe kerberoast /outfile:hashes.txt # 然后使用hashcat破解 hashcat -m 13100 hashes.txt wordlist.txtAS-REP Roasting: 如果一个用户账户设置了“不需要预认证”,攻击者可以直接向域控请求该用户的TGT票证,而无需提供密码。返回的TGT票证中有一部分是用用户密码加密的,可以离线破解。
# 使用Rubeus .\Rubeus.exe asreproast /user:目标用户名 /outfile:asrep_hash.txt滥用ACL: 这是最需要手工分析,但也最有效的方式之一。通过
BloodHound或PowerShell的Get-ObjectAcl,可以分析域内对象(用户、计算机、组)的访问控制列表。- GenericAll:对对象拥有完全控制权。如果对一个用户有
GenericAll权限,可以直接修改其密码。 - GenericWrite/WriteProperty:可以修改对象的属性。例如,可以修改一个用户的
scriptPath(登录脚本),下次该用户登录时就会执行你的脚本。 - WriteDacl:可以修改对象的安全描述符,给自己添加任意权限。
- ForceChangePassword:可以强制重置用户密码。
- AllExtendedRights:包含重置密码等扩展权利。 例如,发现一个普通用户
UserA对域管理员AdminB有ForceChangePassword权限,那么UserA就可以直接重置AdminB的密码,从而成为域管理员。
- GenericAll:对对象拥有完全控制权。如果对一个用户有
组策略对象滥用: 如果攻击者对某个有权限链接到重要OU的GPO有写权限,就可以编辑这个GPO,在其中添加一个启动/关机/登录脚本,脚本内容可以是添加一个账户到域管理员组。当下一次组策略刷新时,所有应用该GPO的计算机都会执行这个脚本。
Unconstrained Delegation(无约束委派)攻击: 如果一台计算机被配置为无约束委派,那么任何用户通过Kerberos认证访问该计算机服务时,该计算机会保存该用户的TGT票证。如果域管理员访问了这台机器,其TGT就会被缓存。攻击者控制这台机器后,就可以导出域管理员的TGT,并模拟其身份访问任何服务。
7. 域控攻防:最终目标的夺取与利用
经过前期的信息收集、横向移动和权限提升,你可能已经获得了域管理员权限。此时,夺取域控制器更多是一种象征性的最终步骤,或者是为了获取最核心的数据(NTDS.dit)。
7.1 直接登录域控
拥有域管理员凭证后,最直接的方式就是通过RDP、WinRM、PsExec等方式登录到域控制器。
python psexec.py 域名/域管理员:密码@域控IP登录后,你便拥有了至高无上的权力。
7.2 转储NTDS.dit与金票/银票
即使无法直接登录,只要有域管理员哈希,也能远程获取域数据库。
- Volume Shadow Copy + secretsdump:在域控上创建卷影副本,从中复制出
NTDS.dit和SYSTEM注册表文件,然后在本地用secretsdump.py解析。# 在已控的域管权限会话中,使用vssadmin或diskshadow创建副本并复制文件 # 然后使用Impacket解析 python secretsdump.py -ntds ntds.dit -system system.hive LOCAL - DCSync攻击:这是最优雅的方式。模仿域控制器之间同步数据的行为,直接请求域控同步指定用户的密码哈希。需要攻击者拥有
Replicating Directory Changes权限(默认域管理员和域控制器有此权限)。
或者使用Impacket:# 使用Mimikatz mimikatz # lsadump::dcsync /domain:域名 /user:Administratorpython secretsdump.py 域名/域管理员:密码@域控IP -just-dc-just-dc参数就是执行DCSync,获取所有域用户的哈希。
金票与银票:
- 金票:在获取了
krbtgt账户的哈希后(krbtgt是域控用来签署所有TGT票证的账户),可以伪造任意用户的TGT票证,即“黄金票证”。拥有金票,就可以生成访问任何服务的票证,权限永不过期(除非krbtgt密码被更改)。mimikatz # kerberos::golden /admin:任意用户名 /domain:域名 /sid:域SID /krbtgt:krbtgt哈希 /ptt - 银票:在获取了某个服务账户的哈希后,可以伪造访问该特定服务的TGS票证,即“白银票证”。它不需要与KDC(域控)交互,因此更加隐蔽。
7.3 权限维持
拿下域控后,攻击者通常会留下后门,以便长期控制。
- 创建隐藏的后门账户:创建一个名字类似普通系统账户(如
sqladmin)的用户,并将其加入Domain Admins组。同时,通过修改AdminSDHolder和SDProp的机制,使该账户的权限不会被系统自动清理。 - Skeleton Key:在域控上植入Mimikatz的Skeleton Key,它会在内存中修补LSASS进程,使得所有用户都可以使用一个通用密码(如
mimikatz)进行认证,同时原密码依然有效。重启域控后失效。 - DSRM密码同步:目录服务还原模式是域控的本地管理员账户。可以将其密码同步为已知密码,之后即使域管理员密码被修改,仍可通过DSRM账户本地登录域控。
- GPO后门:创建一个恶意的组策略,在所有域计算机上部署计划任务或服务,定期连接C2服务器。
8. 防御视角与常见问题排查
理解了攻击,才能更好地防御。从防御者角度看,上面提到的每一步都是需要设防的关口。
8.1 基础加固建议
- 最小权限原则:用户和计算机账户只赋予完成工作所必需的最小权限。定期审查ACL和组成员关系。
- 强密码与智能锁定:实施足够复杂的密码策略,并启用智能账户锁定(针对爆破,而非喷洒)。
- 禁用过时协议:强制使用Kerberos,禁用NTLMv1,尽可能禁用NTLMv2。禁用LLMNR和NetBIOS。
- 限制委派:审查并清理无约束委派配置,使用基于资源的约束委派。
- 保护特权账户:域管理员账户仅用于域控管理,日常使用普通账户。对特权账户启用“敏感账户,不能被委派”和“此账户需要Kerberos预认证”标志。
- 启用日志审计:详细开启账户管理、登录、对象访问、策略更改等安全日志,并集中收集分析。
8.2 常见问题与排查实录
结合热词中提到的一些具体问题,这里提供排查思路:
“域用户ntp在与x.x.x.x进行同步时出错”:
- 原因:域成员机需要与域控的时间同步(通常误差不超过5分钟)才能进行Kerberos认证。此错误说明时间同步失败。
- 排查:
- 检查域控的
Windows Time服务是否运行。 - 检查防火墙是否放通了UDP 123端口(NTP)。
- 在成员机上执行
w32tm /query /source查看时间源,执行w32tm /resync手动同步。 - 确保域控自身时间准确(可配置外部NTP源)。
- 检查域控的
“用户脱域后重新加入提示操作未成功”:
- 原因:计算机账户在AD中残留的旧记录与尝试加入的新记录冲突,或网络问题,或权限不足。
- 排查:
- 在域控AD用户和计算机中,找到“Computers”容器或对应OU,删除旧的计算机账户。
- 确保执行加域操作的用户有“将计算机加入域”的权限(默认域用户有10次机会)。
- 检查DNS,确保能正确解析域控的SRV记录。
“self service password ad如何连接ad域控总是提示不能访问ldap目录服务”:
- 原因:自助密码重置服务无法通过LDAP协议连接到域控。
- 排查:
- 网络连通性:确保自助密码服务器能ping通域控,且防火墙开放了389(LDAP)和636(LDAPS)端口。
- LDAP绑定账户:检查配置中用于连接AD的服务账户密码是否正确,账户是否被禁用或锁定。
- LDAP路径:检查配置中的LDAP连接字符串(如
ldap://dc01.domain.com:389)是否正确,域名能否解析。 - SSL/TLS:如果使用LDAPS(636端口),确保域控安装了有效的证书,且自助密码服务器信任该证书。
- 权限:确保绑定账户有权限在AD中读取用户属性并重置密码(通常需要委派特定权限)。
域渗透是一个深度依赖知识和耐心的过程。它没有一成不变的公式,每个内网环境都是一张独特的地图。真正的能力不在于记住几个工具命令,而在于理解每个命令背后的协议原理、每一条攻击路径背后的权限逻辑。从一张白纸到绘制出完整的域内攻击链,这个过程本身就是对内网安全最深刻的学习。我个人的体会是,搭建一个自己的实验环境,反复练习从信息收集到拿下域控的完整流程,遇到问题就深入去研究原理,这样的收获远比看十篇教程要大。最后,再分享一个小心得:在信息收集阶段,多花时间用BloodHound把整个域的权限关系理清楚,往往比盲目地尝试各种漏洞利用更能发现“捷径”。