SharpADWS 分析与 Active Directory 滥用技术详解<\/h1>

1. ADWS 协议与 NetNTLMv2 认证分析<\/h2>

1.1 ADWS 协议概述<\/h3>
ADWS (Active Directory Web Services) 是微软提供的一种用于访问 Active Directory 的协议，基于 SOAP 和 HTTP\/HTTPS。攻击者可以利用该协议枚举 Active Directory 信息。<\/p>

1.2 NetNTLMv2 认证流量分析<\/h3>

使用 Wireshark 或 tshark 可以提取 NetNTLMv2 认证信息：<\/p>

tshark -n -r adws-1.pcapng -Y 'ntlmssp.messagetype == 0x00000003'<\/span> -T fields -e ntlmssp.auth.username -e ntlmssp.auth.domain -e ntlmssp.ntlmv2_response.ntproofstr -e ntlmssp.auth.ntresponse
<\/span><\/span><\/code><\/pre>关键字段：<\/p>

ntlmssp.messagetype == 0x00000003<\/code>：NTLMv2 响应消息<\/li>
用户名和域名<\/li>
NTLMv2 响应哈希<\/li>
<\/ul>
1.3 获取 NTLM 挑战值<\/h3>
tshark -n -r adws-1.pcapng -Y 'ntlmssp.messagetype == 0x00000002'<\/span> -T fields -e ntlmssp.ntlmserverchallenge
<\/span><\/span><\/code><\/pre>1.4 构造哈希文件进行爆破<\/h3>
将提取的信息格式化为 hashcat 可识别的格式：<\/p>
username::domain:server_challenge:NTProofStr:NTResponse
<\/code><\/pre>
使用 hashcat 进行爆破：<\/p>
hashcat -a 0<\/span> -m 5600<\/span> ntlm_hash.txt rockyou.txt
<\/span><\/span><\/code><\/pre>其中 -m 5600<\/code> 指定 NetNTLMv2 哈希模式。<\/p>
2. Kerberos 与 Keytab 文件<\/h2>
2.1 Keytab 文件制作<\/h3>
Keytab 文件包含 Kerberos 主体的加密密钥，可用于解密 Kerberos 流量。参考 PTS2023-Talk-20-Decrypt_Kerberos_NTLM_with_Wireshark.pdf。<\/p>
2.2 解密 Kerberos 流量<\/h3>

获取用户的 AES-256 密钥<\/li>
在 Wireshark 中配置解密密钥<\/li>
解密 SMB 流量（注意：Wireshark 目前不支持自动解密 Kerberos 认证的 SMB 流量，需手动添加密钥）<\/li>
<\/ol>
3. DACL 滥用与强制密码重置<\/h2>
3.1 DACL 滥用原理<\/h3>
DACL (Discretionary Access Control List) 控制着对象的安全权限。通过修改 DACL，攻击者可以强制重置用户密码。<\/p>
关键操作：<\/p>

修改 unicodePwd<\/code> 属性<\/li>
需要适当的权限（如 GenericAll 或 WriteDacl）<\/li>
<\/ul>
3.2 实现方式<\/h3>
参考 bloodyAD 项目实现，SharpADWS 项目中不包含此功能，需要手动实现。<\/p>
4. 横向移动技术<\/h2>
4.1 Psexec with Kerberos<\/h3>
使用 Impacket 工具包的 psexec.py 进行横向移动：<\/p>

通过 Kerberos 认证而非 NTLM<\/li>
产生的 SMB 流量使用 Kerberos 认证<\/li>
与 NTLM 认证在 SMB3 协议上的区别可参考微软官方文档<\/li>
<\/ul>
4.2 WMIExec-Pro 技术<\/h3>
高级 WMI 远程执行技术：<\/p>

通过 WMI 事件订阅远程执行 VBS 脚本<\/li>
初始 VBS 脚本未混淆<\/li>
使用 generator 函数进行混淆<\/li>
可逆向还原原始 VBS 脚本<\/li>
<\/ol>
优势：<\/p>

绕过杀毒软件检测<\/li>
适用于横向移动<\/li>
<\/ul>
5. 完整攻击链示例<\/h2>

信息收集<\/strong>：通过 ADWS 协议枚举 Active Directory<\/li>
凭证窃取<\/strong>：捕获 NetNTLMv2 哈希并爆破<\/li>
权限提升<\/strong>：通过 DACL 滥用强制重置管理员密码<\/li>
横向移动<\/strong>：

使用 Psexec with Kerberos<\/li>
或使用 WMIExec-Pro 技术<\/li>
<\/ul>
<\/li>
流量解密<\/strong>：通过 Keytab 文件解密 Kerberos 流量获取敏感信息<\/li>
<\/ol>
6. 防御建议<\/h2>

监控 ADWS 协议使用<\/strong>：异常查询行为可能表明攻击<\/li>
保护 NTLM 认证<\/strong>：

启用 SMB 签名<\/li>
尽可能使用 Kerberos 而非 NTLM<\/li>
<\/ul>
<\/li>
限制 DACL 权限<\/strong>：定期审核敏感对象的权限<\/li>
监控 WMI 事件订阅<\/strong>：异常 WMI 事件订阅可能是攻击迹象<\/li>
启用高级日志记录<\/strong>：记录 Kerberos 和 NTLM 认证事件<\/li>
<\/ol>
7. 参考资源<\/h2>

PTS2023-Talk-20-Decrypt_Kerberos_NTLM_with_Wireshark.pdf<\/li>
bloodyAD 项目<\/li>
Impacket 工具包<\/li>
微软官方 Kerberos 和 NTLM 认证文档<\/li>
@whoami 和 @eson 的域渗透技术分享<\/li>
<\/ol>

SharpADWS 分析与 Active Directory 滥用技术详解<\/h1>

1. ADWS 协议与 NetNTLMv2 认证分析<\/h2>

1.1 ADWS 协议概述<\/h3> ADWS (Active Directory Web Services) 是微软提供的一种用于访问 Active Directory 的协议，基于 SOAP 和 HTTP\/HTTPS。攻击者可以利用该协议枚举 Active Directory 信息。<\/p>

2.1 Keytab 文件制作<\/h3> Keytab 文件包含 Kerberos 主体的加密密钥，可用于解密 Kerberos 流量。参考 PTS2023-Talk-20-Decrypt_Kerberos_NTLM_with_Wireshark.pdf。<\/p>

3. DACL 滥用与强制密码重置<\/h2>

3.2 实现方式<\/h3> 参考 bloodyAD 项目实现，SharpADWS 项目中不包含此功能，需要手动实现。<\/p>

4. 横向移动技术<\/h2>

7. 参考资源<\/h2> PTS2023-Talk-20-Decrypt_Kerberos_NTLM_with_Wireshark.pdf<\/li> bloodyAD 项目<\/li> Impacket 工具包<\/li> 微软官方 Kerberos 和 NTLM 认证文档<\/li> @whoami 和 @eson 的域渗透技术分享<\/li> <\/ol>

1.1 ADWS 协议概述<\/h3>
ADWS (Active Directory Web Services) 是微软提供的一种用于访问 Active Directory 的协议，基于 SOAP 和 HTTP\/HTTPS。攻击者可以利用该协议枚举 Active Directory 信息。<\/p>

2.1 Keytab 文件制作<\/h3>
Keytab 文件包含 Kerberos 主体的加密密钥，可用于解密 Kerberos 流量。参考 PTS2023-Talk-20-Decrypt_Kerberos_NTLM_with_Wireshark.pdf。<\/p>

3.2 实现方式<\/h3>
参考 bloodyAD 项目实现，SharpADWS 项目中不包含此功能，需要手动实现。<\/p>

7. 参考资源<\/h2>

PTS2023-Talk-20-Decrypt_Kerberos_NTLM_with_Wireshark.pdf<\/li>
bloodyAD 项目<\/li>
Impacket 工具包<\/li>
微软官方 Kerberos 和 NTLM 认证文档<\/li>
@whoami 和 @eson 的域渗透技术分享<\/li> <\/ol>