C:UsersMarcus>SharpADWS.exe acl -dn "CN=Users,DC=corp,DC=local" -scope Subtree -right Generic -rid 1000Severity : CriticalObjectDN : CN=Bob,CN=Users,DC=corp,DC=localAccessControlType : AllowActiveDirectoryRights : ListChildren, ReadProperty, GenericWriteObjectType : AllTrustee : MarcusIsInherited : False、
想要获取工具的小伙伴可以直接拉至文章末尾
我们来提取并讨论上述工具描述中涉及的网络安全关键技术点:
-
在红蓝对抗场景中,攻击方常利用非常用协议或协议封装技术规避检测。例如,SharpADWS工具通过ADWS协议(TCP 9389端口)封装LDAP查询为SOAP消息,避免传统LDAP流量(389端口)被网络层监控工具捕获。这种技术本质上是利用协议层的“合法封装”,例如ADWS服务在域控本地解析请求,使日志中仅显示127.0.0.1的本地操作,大幅降低防守方通过流量特征溯源的可能性。类似思路也可见于DNS隧道、ICMP隐蔽信道等技术的应用。
-
权限滥用是内网渗透的核心风险。例如,攻击者通过DCSync后门伪装域控同步行为,或利用ACL修改为低权限账户赋予关键资源访问权。防御需结合动态权限管理(如微软LAPS)和实时审计,例如通过零信任架构的持续验证机制,对非常规权限变更(如突然绑定DS-Replication权限)触发告警。同时,工具如BloodHound可自动化分析域内权限传递链,识别潜在滥用路径。
-
加密技术(如AES、RSA)和强身份认证(如双因素认证、生物识别)是防御凭证窃取的基础。但攻击者也在升级对抗手段:例如,Kerberoasting攻击通过请求服务票据离线破解弱加密的SPN账户密码。因此,企业需强制使用AES加密的Kerberos票据,并限制服务账户的权限6。此外,零信任架构中的微隔离技术可对高敏感服务(如ADWS)实施动态访问控制,减少暴露面。
-
传统IDS/IPS依赖规则匹配,难以应对协议封装和日志伪造。例如,SharpADWS的操作在域控本地生成日志,防守方需结合端点行为分析(如Sysmon监控进程调用链)而非单纯依赖网络流量。同时,攻击者可能清除或篡改日志,因此需部署集中式日志审计系统(如ELK Stack),并启用日志完整性校验(如Windows Event Forwarding的哈希验证)。
-
横向移动依赖漏洞利用(如永恒之蓝)、凭证传递(Pass-the-Hash)等。防御需多层级结合:在网络边界部署应用层防火墙深度解析协议(如拦截异常的ADWS请求);在终端侧启用EDR监控异常进程行为(如lsass.exe 的非常规内存读取);在身份层实施特权账户最小化原则,限制默认域管账户的滥用。红队常用的“living-off-the-land”技术(如利用合法工具PsExec)也要求防守方建立白名单机制和基线监控。
下载链接
https://github.com/wh0amitz/SharpADWS
原文始发于微信公众号(白帽学子):红队Active Directory侦察利用工具
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论