Maunton/active-directory-llmnr-mitigation-lab

GitHub: Maunton/active-directory-llmnr-mitigation-lab

一个 Active Directory 实验室，演示 LLMNR 中毒攻击路径并验证组策略与 NetBIOS 硬化的缓解效果。

Stars: 0 | Forks: 0

# Active Directory LLMNR 中毒与缓解实验 ![Lab Type](https://img.shields.io/badge/Lab-Active%20Directory%20Security-blue) ![Attack](https://img.shields.io/badge/Attack-LLMNR%20Poisoning-red) ![Defense](https://img-shields.io/badge/Defense-Group%20Policy%20%26%20NetBIOS%20Hardening-brightgreen) ![Tools](https://img-shields.io/badge/Tools-Responder%20%7C%20Hashcat-orange) 本项目演示如何在 Active Directory 实验环境中利用 LLMNR 中毒捕获 NTLM 认证材料、破解弱凭证，并验证防御性缓解措施。实验展示了攻击路径以及用于减少暴露面（exposure）的加固步骤。本项目演示如何在 Active Directory 实验环境中利用 LLMNR 中毒捕获 NTLM 认证材料、破解弱凭证，并验证防御性缓解措施。实验展示了攻击路径以及用于减少暴露面（exposure）的加固步骤。 ## 目录 - [展示的技能](#skills-demonstrated) - [使用的工具](#tools-used) - [实验环境](#lab-environment) - [关键收获](#key-takeaways) - [免责声明](#disclaimer) - [项目演练](#project-walk-through) - [攻击流程](#attack-workflow) - [缓解与加固](#mitigation-and-hardening) - [为何重要](#why-this-matters) - [项目结构](#project-structure) - [未来改进](#future-improvements) ## 展示的技能 - Active Directory 安全测试 - Windows 主机加固 - 凭证攻击模拟 - NTLM 哈希捕获与分析 - 使用 Hashcat 破解密码 - 使用 Responder 观察网络攻击 - 验证防御性缓解措施 - 安全文档与实验报告 ## 使用的工具 - Responder - Hashcat - 组策略管理 - Windows 网络适配器设置 - Kali Linux - VirtualBox ## 实验环境 - Windows Server 2022 - Windows 10 - Kali Linux - Ubuntu Server 22.04 - VirtualBox 虚拟机环境 ## 关键收获 - LLMNR 与 NetBIOS 名称解析可能使 Windows 环境面临凭证捕获攻击。 - 弱密码会增加捕获的 NTLM 认证材料的影响。 - 禁用多播名称解析和 TCP/IP 上的 NetBIOS 可显著减少此攻击面。 - 安全实验应同时展示进攻性测试与防御性验证。 ## 免责声明本项目仅在受控的实验室环境中出于教育与防御性安全目的进行。文中展示的技术绝不能用于未经授权的系统。 ## 项目演练 ### 网络拓扑图

Network diagram

## 攻击流程本阶段演示如何利用 LLMNR 中毒从受控实验室环境中的受害系统捕获 NTLM 认证材料。 ### Responder 命令 ``` sudo responder -I eth0 -dPv ``` ### 1. Responder 捕获本截图展示 Responder 正在监听 LLMNR/NBT-NS 流量，并准备捕获来自受害系统的认证尝试。

Responder capture

### 2. 受害认证尝试本步骤展示受害系统尝试认证，从而触发实验中的中毒名称解析流程。

Victim authentication

### 3. NTLM 哈希捕获在此阶段，攻击者系统使用 Responder 捕获受害者的 NTLM 哈希。

Captured hash

### Hashcat 命令 ``` hashcat -m 5600 hash.txt ~/Desktop/ad-project/passwords.txt ``` ### 4. Hashcat 密码恢复本截图展示使用 Hashcat 破解捕获的哈希以还原明文密码的过程。

Hashcat result

## 缓解与加固 ### 5. 组策略加固本图展示用于禁用多播名称解析并降低 LLMNR 中毒风险的组策略设置。

Group Policy mitigation

### 6. NetBIOS 加固本步骤禁用 TCP/IP 上的 NetBIOS，以进一步减少环境中的遗留名称解析暴露。

NetBIOS hardening

### 7. 缓解后验证本最终截图确认加固措施已应用，攻击路径已被减少或阻断。

Post-mitigation validation

## 为何重要 LLMNR 与 NetBIOS 等遗留名称解析协议可能在 Windows 环境中造成不必要风险。本实验演示攻击者如何滥用这些协议，以及防御者如何通过策略与配置更改降低风险。 ## 项目结构 ``` . ├── README.md └── images ├── 01-network-diagram.png ├── 02-responder-capture.png ├── 03-victim-authentication.png ├── 04-captured-hash.png ├── 05-hashcat-result.png ├── 06-group-policy-mitigation.png ├── 07-netbios-hardening.png └── 08-post-mitigation-validation.png ``` ## 未来改进 - 添加 Splunk 检测规则以识别可疑的名称解析活动 - 添加 Windows 事件日志分析以监控认证事件 - 扩展实验以包含 SMB 中继测试 - 记录蓝队监控的检测逻辑

标签：Active Directory, Bitdefender, CTF学习, DOS头擦除, Hashcat, LLMNR poisoning, LLMNR中毒, Modbus, NTLM认证, Plaso, Responder, SEO: AD安全, SEO: 协议漏洞, Windows硬ening, 内网渗透, 凭证暴露, 安全实验室, 安全文档, 安全测试, 密码破解, 攻击性安全, 攻击路径, 组策略, 缓解措施, 网络协议攻击, 虚拟化, 防御验证