包邮AD域攻防权威指南

目　　录　Contents　
序一
序二
赞誉
前言
第1章　AD域及Microsoft Entra ID1
1.1　AD域基础1
1.1.1　核心概念1
1.1.2　组策略4
1.1.3　LDAP11
1.1.4　SPN15
1.1.5　Kerberos 22
1.2　Microsoft Entra ID基础25
1.2.1　核心概念25
1.2.2　Microsoft Entra内置角色28
第2章　AD域及Microsoft Entra ID分析29
2.1　AD域配置管理工具SCCM详解29
2.1.1　SCCM介绍29
2.1.2　利用SCCM进行信息枚举32
2.1.3　利用SCCM进行横向移动39
2.1.4　利用SCCM进行凭据窃取47
2.1.5　利用SCCMHunter进行SCCM分析61
2.1.6　利用MalSCCM进行SCCM分析65
2.1.7　利用SharpSCCM进行SCCM分析75
2.2　本地AD域分析91
2.2.1　利用BloodHound进行AD域分析91
2.2.2　利用AdFind进行AD域分析113
2.2.3　利用AD Explorer进行AD域分析125
2.2.4　利用SharpADWS进行AD域分析131
2.2.5　利用SOAPHound进行AD域分析140
2.3　Microsoft Entra ID分析146
2.3.1　Microsoft Entra ID分析工具AzureHound详解146
2.3.2　使用Azure AD PowerShell进行信息枚举167
2.3.3　使用Azure PowerShell进行信息枚举186
2.3.4　使用Azure CLI进行信息枚举195
第3章　获取AD域权限202
3.1　域用户密码策略202
3.1.1　常见密码策略202
3.1.2　获取密码策略的手段202
3.1.3　域用户密码策略解析204
3.1.4　查找被禁用用户204
3.2　利用Kerberos协议进行密码喷洒205
3.2.1　使用ADPwdSpray.py进行域密码喷洒205
3.2.2　利用dsacls进行密码喷洒206
3.2.3　检测利用Kerberos协议实施的密码喷洒206
3.3　Microsoft Entra ID密码喷洒207
3.3.1　Microsoft Entra ID密码策略207
3.3.2　通过MSOnline PowerShell获取密码策略207
3.3.3　使用MSOLSpray对Azure AD租户进行密码喷洒209
3.3.4　使用Go365对Microsoft 365用户进行密码喷洒210
3.3.5　防御Microsoft Entra ID密码喷洒212
3.4　利用LDAP破解账户密码215
3.4.1　使用DomainPasswordSpray通过LDAP进行密码喷洒215
3.4.2　域外Linux环境中通过LDAP爆破用户密码216
3.4.3　检测利用LDAP实施的密码爆破217
3.5　AS-REP Roasting离线密码破解218
3.5.1　错误配置导致AS-REP Roasting攻击218
3.5.2　检测AS-REP Roasting攻击221
3.5.3　防御AS-REP Roasting攻击221
3.6　Kerberoasting离线密码破解221
3.6.1　Kerberoasting攻击原理221
3.6.2　Kerberoasting攻击流程222
3.6.3　实验环境配置222
3.6.4　获取访问指定服务的票据223
3.6.5　转换不同格式的票据224
3.6.6　离线破解本地票据225
3.6.7　Kerberoasting后门226
3.6.8　Kerberoasting攻击的检测及防御227
3.7　FAST227
3.7.1　FAST配置227
3.7.2　绕过FAST保护230
3.7.3　未经预身份验证的Kerberoasting232
3.8　域环境中控制指定用户236
3.9　特殊机器账户：Windows 2000之前的计算机240
3.10　CVE-2020-1472（ZeroLogon）漏洞利用243
3.10.1　检测目标域控ZeroLogon漏洞244
3.10.2　域内Windows环境中使用Mimikatz执行ZeroLogon攻击244
3.10.3　域外执行ZeroLogon攻击245
3.10.4　恢复域控机器账户密码247
3.10.5　检测ZeroLogon攻击248
3.10.6　防御ZeroLogon攻击250
第4章　域信任 251
4.1　域信任基础251
4.1.1　域信任原理251
4.1.2　TDO252
4.1.3　GC252
4.2　多域与单域Kerberos认证的区别253
4.3　林内域信任中的Kerberos通信253
4.4　林间域信任中的Kerberos通信253
4.5　信任技术255
4.5.1　域信任类型256
4.5.2　域信任路径261
4.5.3　林内域信任攻击263
4.5.4　林间域信任攻击269
第5章　Kerberos域委派280
5.1　无约束委派281
5.1.1　无约束委派原理282
5.1.2　查询无约束委派283
5.1.3　配置无约束委派账户285
5.1.4　利用无约束委派和Spooler打印机服务获取域控权限287
5.1.5　防御无约束委派攻击291
5.2　约束委派291
5.3　基于资源的约束委派302
5.4　绕过委派限制325
5.4.1　手动添加SPN绕过委派限制325
5.4.2　CVE-2020-17049（Kerberos Bronze Bit）漏洞利用328
第6章　ACL后门332
6.1　在AD中滥用ACL/ACE332
6.2　利用GenericAll权限添加后门335
6.3　利用WriteProperty权限添加后门337
6.4　利用WriteDacl权限添加后门339
6.5　利用WriteOwner权限添加后门340
6.6　利用GenericWrite权限添加后门341
6.7　通过强制更改密码设置后门343
6.8　通过GPO错配设置后门344
6.9　SPN后门346
6.10　利用Exchange的ACL设置后门348
6.11　利用Shadow Admin账户设置后门349
第7章　AD CS攻防351
7.1　AD CS基础351
7.1.1　证书服务的应用场景和分类352
7.1.2　证书模板和注册352
7.1.3　获取CA信息357
7.2　AD CS的常用攻击与防御手法358
7.2.1　ESC1：配置错误的证书模板358
7.2.2　ESC2：配置错误的证书模板362
7.2.3　ESC3：错配证书请求代理模板363
7.2.4　ESC4：证书模板访问控制错配365
7.2.5　ESC6：利用EDITF_ATTRIB-UTESUBJECTALTNAME2获取权限371
7.2.6　ESC7：CA访问控制错配374
7.2.7　ESC8：利用PetitPotam触发NTLM Relay380
7.2.8　AD域权限提升387
7.2.9　利用CA机器证书申请伪造证书390
7.2.10　影子凭据攻击395
7.2.11　ESC9：无安全扩展406
7.2.12　ESC10：弱证书映射410
7.2.13　ESC11：RPC中继到AD CS416
第8章　Microsoft Entra ID攻防420
8.1　AD用户同步到Microsoft Entra ID420
8.1.1　创建Windows Server Active Directory环境420
8.1.2　在Microsoft Entra管理中心 创建混合标识管理员账户427
8.1.3　安装配置Microsoft Entra Connect430
8.2　防御Microsoft Entra无缝单一登录功能的滥用436
8.2.1　防御滥用Microsoft Entra无缝单一登录实施的密码喷洒436
8.2.2　防御滥用AZUREADSSOACC$账户实施的横向移动442
8.3　防御滥用AD DS连接器账户实施的DCSync攻击454
8.4　防御滥用Microsoft Entra连接器账户来重置密码466
8.5　防御滥用Microsoft Intune管理中心实施的横向移动473
8.6　防御滥用Azure内置Contributor角色实施的横向移动486