Hemashankar19/ad-dmsa-privilege-escalation-lab
GitHub: Hemashankar19/ad-dmsa-privilege-escalation-lab
复现 Windows Server 2025 dMSA 提权漏洞并提供 Sigma 检测规则与环境暴露枚举工具的防御性安全实验室。
Stars: 0 | Forks: 1
# dMSA BadSuccessor 检测实验室
本项目旨在复现影响 Windows Server 2025 中委派托管服务账户的“BadSuccessor”系列 Active Directory 提权技术,并为其构建检测内容,包括 Akamai(2025 年)披露的原始技术以及 Huntress(2026 年)披露的“dMSA Ouroboros”变体。
## 背景
Windows Server 2025 引入了委派托管服务账户作为传统服务账户的更安全替代方案。dMSA“迁移”链接机制中存在一个缺陷,允许拥有普通且常被委派 OU 权限的用户创建或修改 dMSA 对象,并将其声明为特权账户(例如 Domain Admin)的继任者,从而导致 KDC 签发携带该账户完整权限的 Kerberos 票据。
目前,主流的 EDR/SIEM 都没有开箱即用的针对此攻击家族的检测功能。本项目旨在通过可复现的实验室环境、攻击自动化脚本以及一套公开的检测规则集来填补这一空白。
## 项目结构
- `/lab-setup` — 用于搭建具有真实 OU 委派且存在漏洞的 Server 2025 AD 实验环境的脚本和文档
- `/attack-chain` — 复现 BadSuccessor 和 Ouroboros 变体的自动化脚本
- `/detection-rules` — 用于检测 dMSA 滥用的 Sigma 规则以及 Wazuh/Splunk 等效规则
- `/enumeration` — 用于在被利用之前标记出具有可利用权限的 OU/主体的 PowerShell 脚本
- `/writeup.md` — 完整的技术分析报告、发现和截图
## 状态
正在进行中。
## 参考资料
- Akamai,“BadSuccessor”研究披露(2025 年)
- Huntress,“dMSA Ouroboros”研究披露(2026 年)
## 免责声明
本项目仅用于防御性安全研究和教育目的。所有测试均在隔离的实验室环境中进行,与生产系统没有任何连接。
标签:AI合规, AMSI绕过, IPv6, PowerShell, Sigma规则, Terraform 安全, Web报告查看器, 协议分析, 威胁检测, 数据展示, 权限提升, 模拟器, 活动目录, 目标导入, 红队