nico-la-distro/lab-purple-team
GitHub: nico-la-distro/lab-purple-team
结合攻击技术、Wazuh 检测与修复指导的 Active Directory 紫队实战实验室,覆盖九个 MITRE ATT&CK 攻击场景的完整攻防闭环。
Stars: 0 | Forks: 0
# 紫队实验室 - Active Directory
一个用于实践和记录的攻防安全实验室,
针对 Active Directory 环境的攻击技术,
并通过 Wazuh 进行检测。
## 基础设施
| 机器 | 角色 | IP | 操作系统 |
| ------- | ---------------------- | --------------- | ------------------- |
| DC01 | Active Directory / DNS | 192.168.10.100 | Windows Server 2022 |
| WS01 | 域客户端 | 192.168.10.101 | Windows 10 Pro |
| Kali | 攻击者 | 192.168.10.200 | Kali Linux 2026.2 |
| Wazuh | SIEM | VPS 公网 IP | Ubuntu 22.04 |
网络:VMware Host-Only `192.168.10.0/24` - 域名:`lab.local`
## 攻击目录
| # | 场景 | MITRE 技术 | 战术 |
| --- | -------------------- | ------------------- | -------------------- |
| 01 | Reverse Shell | T1204.002 | Execution |
| 02 | 本地侦察 | T1082, T1016, T1069 | Discovery |
| 03 | 权限提升 | T1548.002 | Privilege Escalation |
| 04 | 凭据转储 | T1003.001 | Credential Access |
| 05 | 持久化 | T1053.005 | Persistence |
| 06 | AS-REP Roasting | T1558.004 | Credential Access |
| 07 | Kerberoasting | T1558.003 | Credential Access |
| 08 | DCSync | T1003.006 | Credential Access |
| 09 | Golden Ticket | T1558.001 | Persistence |
每个场景分为三个部分进行记录:`attack.md` / `detection.md` / `patch.md`
## 技术栈
| 工具 | 角色 |
|-------|------|
| Metasploit | 漏洞利用与后渗透 |
| Mimikatz (kiwi) | 凭据转储 |
| Impacket | AD 攻击 (AS-REP, Kerberoasting, DCSync, Golden Ticket) |
| BloodHound CE | AD 映射与攻击路径 |
| SharpHound | AD 数据收集 |
| Wazuh | SIEM - 检测与告警 |
| Sysmon (SwiftOnSecurity) | Endpoint 遥测 |
## 实验室妥协假设
| 妥协假设 | 真实条件 |
| ------------------------------------------ | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| Kali 与 AD 在同一网络 | 外部攻击者,通过 SOCKS 隧道使用 impacket 工具,或从受控机器上使用 Rubeus |
| Defender 处于活动状态且排除了特定文件夹 | Defender 可抵御通过 GPO 进行的禁用(Tamper Protection)。Downloads 和 OneDrive 文件夹被排除在扫描之外。在真实环境中,payload 需要 AV 规避 (T1027)。 |
## 项目结构
```
00_INFRA/ Infrastructure et réseau
01_ACTIVE_DIRECTORY/ Utilisateurs, OUs, GPO
02_SIEM/ Configuration Wazuh, règles custom
03_ENDPOINTS/ Configuration Sysmon
04_ATTACKS/ Scénarios d'attaque
```
标签:Terraform 安全, Wazuh, 后渗透, 子域名枚举, 攻击模拟, 无线安全, 活动目录, 系统安全, 紫队演练, 网络安全实验环境, 驱动签名利用