集权设施攻防兵法：实战攻防之AD篇

AD域是攻击者经常攻击的目标，因为AD域作为企业的核心身份验证和授权系统，攻击AD域可以使攻击者获得系统内所有计算机和用户的权限，从而轻松获取敏感信息和控制企业系统。

另外，AD域内存在众多的计算机资产，如果某一台计算机失陷，攻击者往往会利用这台计算机作为跳板机横向渗透到其他计算机，直到拿到域管权限，最终控制整个AD域。

域控存在很多漏洞，并且大多都是高危，这也是AD域经常遭受攻击的原因。因此，漏洞在很大程度上给了攻击者攻击AD域的契机，同时也提升了攻击的效率。

域内漏洞CVE-2020-1472、CVE-2021-42287&42278、CVE-2021-1675/CVE-2021-34527、CVE-2019-1040、CVE-2022–26923、ms14-068等被攻击者经常利用，攻击者原本只有一个普通域用户权限，但是通过利用漏洞，往往能够快速地获得一个高权限，进行接下来的攻击流程。

一般地，如果攻击者从外网通过web系统漏洞或钓鱼进入内网之后，首先会进行信息收集，看是否存在域环境：

攻击AD域的技术多种多样，但是它们大致可以分为以下六个类别：

AD结构复杂、可利用漏洞多，这就造成了攻击AD可能具有多条路径，最终都能拿到域管权限，进而控制AD域。以下基于现实场景列举四条典型攻击路径：

1.攻击者通过Web漏洞利用拿到内网Web服务器权限。

2.通过进一步信息收集，发现目标环境有AD，并且定位到域控，域控存在CVE-2020-1472漏洞。

3.利用CVE-2020-1472执行攻击，拿到域管权限，控制AD域。

1.攻击者通过钓鱼攻击，控制了一台域成员机。

2.攻击者通过密码爆破，获得域管权限。

1.攻击者通过目标组织泄漏的vpn账号，进入目标内网。

2.在内网中，通过信息收集，得到一个普通域账户的凭据。

3.攻击者通过利用域内错误配置项获得域控权限。

1.攻击者通过钓鱼进入内网，控制了一台域成员机。

2.建立隧道，直达内网。

3.先通过petitpotam触发域控强制认证到攻击者所控制的域成员机。

3.然后通过ntlm relay到ADCS服务器，申请证书。

5.获得域管权限。

ITDR平台

ITDR（身份威胁检测与响应）平台是中安网星推出的针对身份威胁检测与响应高级威胁分析平台。主要围绕Identity及Infrastructure为核心进行防护，涵盖主流身份基础设施及集权设施，围绕从攻击的事前加固、事中监测，事后阻断出发，产品的设计思路覆盖攻击者活动的全生命周期。