FacundoMfernandez/active-directory-attack-chain
GitHub: FacundoMfernandez/active-directory-attack-chain
一个完整的 Active Directory 攻击链实验项目,模拟从低权限用户提权至 Domain Admin 的全过程,并同步提供 Blue Team 的检测与缓解方案。
Stars: 0 | Forks: 0
# Active Directory 攻击链
## 🎯 目标
模拟攻击者入侵非特权用户,并逐步提权至 Domain Admin 以实现无限期持久化的完整攻击链——随后从 Blue Team 的视角设计检测与缓解方案。
## 🧪 实验室环境(受控)
- **Domain Controller**: Windows Server 2019
- **Workstations**: 2 × Windows 10 / Linux
- **攻击者**: Kali Linux 2024.1
- **网络**: 隔离的 NAT 网络(域内无互联网访问)
## 🔁 执行阶段
### 1. 侦察 (Recon)
使用 `BloodHound` + `SharpHound` 枚举用户、组和 SPNs。识别通往 Domain Admin 的攻击路径。
### 2. 横向移动 — Pass-the-Hash
重用通过 `mimikatz` 提取的 NTLM 哈希,利用 `Impacket-psexec` 向其他系统进行身份验证。
### 3. Kerberoasting
使用 `Impacket-GetUserSPNs` 提取注册了 SPN 的账户的 TGS 票据。通过 `hashcat` 离线破解以获取特权凭证。
### 4. 权限提升
利用受损的服务账户达到 Domain Admin 权限。
### 5. 持久化 — Golden Ticket
使用 KRBTGT 密钥生成自定义 TGT —— 即使最初受损用户的密码被轮换,也能对域实现无限期访问。
## 🛠️ 使用的工具
| 工具 | 在项目中的用途 |
|---|---|
| BloodHound + SharpHound | 枚举和映射 AD 关系 |
| mimikatz | 提取 NTLM 哈希和 Kerberos 票据 |
| Impacket (psexec, GetUserSPNs) | 横向移动和 Kerberoasting |
| hashcat | 离线破解 TGS 票据 |
| Kali Linux | 攻击平台 |
| Wireshark | 攻击期间的流量分析 |
| Sysmon + Windows Event Logs | Blue Team 检测 |
## 🛡️ Blue Team 检测
对于执行的每种攻击技术,我记录了它在 Windows 中生成的事件、SIEM 规则将检测到的模式,以及缓解这些威胁的防御控制措施。
### MITRE ATT&CK 映射
| 使用的攻击技术 | ATT&CK ID | 建议的检测方式 |
|---|---|---|
| 使用 BloodHound 进行枚举 | T1087.002 | Sysmon Event ID 10,大规模 LDAP query 事件 |
| Pass-the-Hash | T1550.002 | Windows Event 4624 logon type 9 + NTLM |
| Kerberoasting | T1558.003 | 加密类型为 RC4 (0x17) 的 Event 4769 |
| Golden Ticket | T1558.001 | 包含异常 TGT lifetime、SID History 的 Event 4624 |
## 📊 结果
在受控环境中约 3 小时内完成了完整的攻击链。缓解方案包含 14 项按影响/工作量优先级排序的具体控制措施。
## 🔒 保密声明
## ⚠️ 免责声明
本项目在隔离且受控的实验室环境中执行。所记录的技术仅出于教育目的,旨在提升防御能力(Blue Team)。未经授权使用这些技术是非法的。
## 📧 联系方式
[Facundo Martín Fernández Otón](https://www.linkedin.com/in/facundo-martin-fernandez-oton-/) · [GitHub](https://github.com/FacundoMfernandez)
🔍 *您正在为 SOC、Blue Team 或 IR 团队招聘吗?查看我的[个人资料](https://github.com/FacundoMfernandez)并联系我们吧。*
标签:Active Directory, AMSI绕过, BloodHound, Impacket, Kerberoasting, mimikatz, Pass-the-Hash, Plaso, Sysmon, Windows Server, Wireshark, 凭据转储, 协议分析, 句柄查看, 威胁检测, 攻击链, 权限提升, 横向移动, 混合加密, 编程规范, 网络安全, 蓝队防御, 隐私保护, 靶场实验, 黄金票据