Hemashankar19/ad-dmsa-privilege-escalation-lab

GitHub: Hemashankar19/ad-dmsa-privilege-escalation-lab

复现 Windows Server 2025 dMSA 提权漏洞并提供 Sigma 检测规则与环境暴露枚举工具的防御性安全实验室。

Stars: 0 | Forks: 1

# dMSA BadSuccessor 检测实验室 本项目旨在复现影响 Windows Server 2025 中委派托管服务账户的“BadSuccessor”系列 Active Directory 提权技术,并为其构建检测内容,包括 Akamai(2025 年)披露的原始技术以及 Huntress(2026 年)披露的“dMSA Ouroboros”变体。 ## 背景 Windows Server 2025 引入了委派托管服务账户作为传统服务账户的更安全替代方案。dMSA“迁移”链接机制中存在一个缺陷,允许拥有普通且常被委派 OU 权限的用户创建或修改 dMSA 对象,并将其声明为特权账户(例如 Domain Admin)的继任者,从而导致 KDC 签发携带该账户完整权限的 Kerberos 票据。 目前,主流的 EDR/SIEM 都没有开箱即用的针对此攻击家族的检测功能。本项目旨在通过可复现的实验室环境、攻击自动化脚本以及一套公开的检测规则集来填补这一空白。 ## 项目结构 - `/lab-setup` — 用于搭建具有真实 OU 委派且存在漏洞的 Server 2025 AD 实验环境的脚本和文档 - `/attack-chain` — 复现 BadSuccessor 和 Ouroboros 变体的自动化脚本 - `/detection-rules` — 用于检测 dMSA 滥用的 Sigma 规则以及 Wazuh/Splunk 等效规则 - `/enumeration` — 用于在被利用之前标记出具有可利用权限的 OU/主体的 PowerShell 脚本 - `/writeup.md` — 完整的技术分析报告、发现和截图 ## 状态 正在进行中。 ## 参考资料 - Akamai,“BadSuccessor”研究披露(2025 年) - Huntress,“dMSA Ouroboros”研究披露(2026 年) ## 免责声明 本项目仅用于防御性安全研究和教育目的。所有测试均在隔离的实验室环境中进行,与生产系统没有任何连接。
标签:AI合规, AMSI绕过, IPv6, PowerShell, Sigma规则, Terraform 安全, Web报告查看器, 协议分析, 威胁检测, 数据展示, 权限提升, 模拟器, 活动目录, 目标导入, 红队