Higor1912/TLOA-Lab-Exercises

# TLOA 实验室练习 在 **TLOA (Threat Lab Offensive Architecture)** 家庭实验室环境中执行的攻防安全实操练习，包含 ATT&CK 映射、工具文档记录以及通过 Wazuh + Sysmon 进行的检测分析。 ## 实验室环境 | 组件 | 详情 | |---|---| | **域** | `tloa.local` | | **网络** | VMware Host-Only — VMnet1 (`192.168.204.x`) | | **DC** | Windows Server 2025 — DC01 (Wazuh Agent 002) | | **目标** | Windows 10 Pro — Sysmon + Wazuh Agent | | **攻击者** | Kali Linux | | **SIEM** | Ubuntu Server 24.04 — Wazuh Manager 4.7.5 | ## 练习 | # | 练习 | ATT&CK 技术 | 状态 | |---|---|---|---| | 01 | [AD 枚举 — BloodHound](./AD-Enumeration/) | T1087.002, T1069.002 | ✅ 已完成 | | 02 | [Kerberoasting — svc-backup](./Kerberoasting/) | T1558.003 | 🔄 进行中 | | 03 | [横向移动 — Pass-the-Hash](./Lateral-Movement/) | T1550.002, T1021.006 | ⬜ 待处理 | | 04 | [权限提升](./Privilege-Escalation/) | T1548.002 | ✅ 已完成 | | 05 | [凭据转储 — LSASS](./Credential-Dumping/) | T1003.001 | ✅ 已完成 | | 06 | [OSINT — ControlID 基础设施](./OSINT-ControlID/) | T1596, T1590 | 🔄 进行中 | ## ATT&CK 覆盖范围 ``` Initial Access → Execution → Persistence → Privilege Escalation ↓ Credential Access → Discovery → Lateral Movement ``` 已记录的技术：**T1003.001 · T1046 · T1053.005 · T1087.002 · T1112 · T1548.002 · T1550.002 · T1558.003 · T1590 · T1596** ## 使用的工具 `BloodHound` `SharpHound` `Impacket` `Mimikatz` `CrackMapExec` `hashcat` `nmap` `Wazuh` `Sysmon` `Atomic Red Team` ## 相关代码库 - [Threat-Intel-Reports](https://github.com/H160R2/Threat-Intel-Reports) - [Bash-Log-Threat-Analyzer](https://github.com/H160R2/Bash-Log-Threat-Analyzer)

标签：Active Directory, AD域安全, AMSI绕过, ATT&CK框架, BloodHound, Cloudflare, ESC4, GitHub, hashcat, HTTP, Impacket, Kerberoasting攻击, LSASS, Mimikatz, MITRE ATT&CK, OPA, OSINT, Plaso, PtH, SCADA, Sysmon, Terraform 安全, VMware, Wazuh, Windows 10, Windows Server, 凭据转储, 协议分析, 哈希传递, 威胁检测, 安全实验, 安全测试, 安全运营, 家庭实验室, 扫描框架, 插件系统, 攻击性安全, 数据展示, 权限提升, 横向移动, 环境搭建, 红队, 编程规范, 网络安全, 网络枚举, 防守分析, 隐私保护, 靶场