内网渗透-活动目录利用方法

主要观点总结

文章主要讨论了针对Windows活动目录的多种攻击方法和防御措施，包括滥用活动目录ACLs/ACEs权限、Kerberos双跳问题、利用打印机泄露AD信息、打印机管理界面中的LDAP设置、利用DCShadow创建恶意域控制器、LAPS（本地管理员密码管理解决方案）的利用与检测等。文章还提到了特权组、安全描述符、WMI权限、转储哈希权限、打印机中的AD信息、打印机管理界面、安全描述符、特权组、中间人攻击的WPAD记录、端口代理、打印机中的AD信息、打印机管理界面、Kerberos双跳问题、端口代理、打印机中的AD信息、打印机管理界面等。

关键观点总结

关键观点1: 活动目录ACLs/ACEs权限滥用

攻击者可以滥用活动目录中的访问控制列表（DACL）和访问控制条目（ACEs）权限，获取对特定对象的访问权限，从而进行攻击。

关键观点2: Kerberos双跳问题

Kerberos双跳问题指的是在多个连接上维护客户端Kerberos身份验证凭据的方法，攻击者可以利用双跳问题进行权限提升。

关键观点3: 打印机泄露AD信息

攻击者可以通过打印机泄露活动目录信息，如用户名、密码等，进而获取域内用户的敏感信息。

关键观点4: 打印机管理界面中的LDAP设置

打印机管理界面中的LDAP设置可能被攻击者利用，通过配置打印机连接到恶意的LDAP服务器，获取打印机凭据。

关键观点5: DCShadow攻击

DCShadow攻击通过创建恶意的域控制器，利用域控之间的数据同步复制，将预先设定的对象或对象属性注入正在运行的合法域控制器，以创建域后门或获取非法访问渠道。

关键观点6: LAPS的利用与检测

LAPS（本地管理员密码管理解决方案）允许管理域加入计算机上的本地管理员密码，攻击者可能利用LAPS的漏洞获取管理员权限，而检测LAPS的滥用可以帮助发现潜在的攻击。

文章预览

原文首发在：奇安信攻防社区 https://forum.butian.net/share/3681 ‍ ‍ 内网活动目录利用方法 滥用活动目录ACLs\ACEs权限 https://book.hacktricks.xyz/windows-hardening/active-directory-methodology/acl-persistence-abuse https://www.cnblogs.com/nice0e3/p/15879624.html DACL和ACE是与访问控制相关的概念，常用于操作系统和网络环境中。以下是对它们的详细解释： DACL（Discretionary Access Control List）：DACL是一种访问控制列表，用于确定谁可以访问特定对象（如文件、文件夹、注册表项等）。DACL是以访问控制条目（ACE）的形式组成的列表。 ACE（Access Control Entry）：ACE是DACL中的基本单元，用于授予或拒绝对对象的访问权限。每个ACE定义了一个安全主体（如用户、组、计算机等）以及该安全主体所具有的权限。 在DACL中，每个ACE包含以下信息： 安全主体（SID）：标识被授权或被拒绝访问权限的用户、组 ………………………………