Active Directory 渗透测试靶场(一)
字数 1866 2025-08-26 22:11:15

Active Directory 渗透测试靶场搭建与基础概念详解

0x00 前言

本文档基于先知社区文章《Active Directory 渗透测试靶场(一)》整理而成,旨在提供完整的Active Directory(AD)环境搭建指南和基础概念解析,为后续的渗透测试工作奠定基础。

0x01 Active Directory 基本概念

AD (Active Directory) 定义

Active Directory是Windows服务器平台的核心组件,提供目录服务功能:

  • 存储网络对象信息(用户、计算机、服务器、资源等)
  • 采用结构化数据存储方式,进行逻辑分层组织
  • 为管理员提供统一管理网络环境各要素的手段

核心组件

  1. AD域控制器(Domain Controller)

    • 负责域用户认证
    • 运行AD DS (Active Directory Domain Services)
    • 存储AD数据库(ntds.dit文件,默认位于%SYSTEMROOT%\NDTS)

  2. LDAP (轻量级目录访问协议)

    • 负责网络资源跟踪和目录服务

  3. DNS服务

    • 对AD工作至关重要
    • 自动管理服务定位记录

  4. Kerberos认证

    • 实现域内单点登录(SSO)
    • 使用统一凭证访问域内资源

  5. GPP (组策略)

    • 定义用户、安全和网络策略
    • 可从中心位置应用到整个域或特定计算机/用户

AD结构术语

  • 域(Domain): 共享同一AD数据库的网络对象集合
  • AD树(AD Tree): 共享连续命名空间的域集合
  • 林(Forest): 由一个或多个树组成,可包含不连续命名空间
  • FQDN (全限定域名): 完整标识对象位置,如secwing.huahua.pentest.lab

0x02 实验室环境规划

基础架构

  1. 域控制器

    • Windows Server 2012 (实际使用2008替代)
    • 生产环境中可能包含:
      • ADC (附加域控制器)
      • RCDC (只读域控制器)
      • CDC (子域控制器)

  2. 客户端机器

    • Windows 7
    • Windows 10

  3. 成员服务器

    • SQL服务器
    • 文件服务器
    • FTP服务器
    • IIS服务器
    • 代理服务器
    • 防病毒服务器

网络配置

  • DC使用仅主机模式
  • 仅DC和代理服务器可访问互联网
  • 其他客户端通过代理服务器访问互联网

0x03 域控制器安装指南

图形界面安装步骤

  1. 基础准备

    • 更改计算机名称(sysdm.cpl)
    • 设置静态IP(ncpa.cpl)

  2. 安装AD DS角色

    • 服务器管理器 > 添加角色和功能 > 基于角色的安装
    • 选择"Active Directory域服务"

  3. 提升为域控制器

    • 使用AD DS安装向导
    • 设置DSRM密码(用于域服务恢复)

PowerShell安装方法

# 安装AD DS角色
Install-windowsFeature AD-Domain-Services

# 安装ADDS RSAT功能
Add-windowsfeature RSAT-ADDS

# 导入AD部署模块
Import-Module ADDSDeployment

# 创建新林
Install-ADDSForest

0x04 计算机加入域

加入域步骤

  1. 配置客户端网络:

    • IP: 10.10.0.3
    • DNS: 10.10.0.2 (指向DC)

  2. 通过系统属性加入域

组策略相关设置

  • 默认允许认证用户将工作站加入域
  • 域用户默认可在域中添加最多10个系统
  • ms-DS-MachineAccountQuota属性控制,设置为0可禁用此功能

0x05 用户管理

图形界面方法

  • 打开AD用户和计算机管理(dsa.msc)
  • 手动创建用户并设置密码

命令行方法

  1. CMD方式
net user username password /add /domain
  1. PowerShell方式
New-ADUser -Name "Winsaaf Man" -DisplayName "Winsaaf Man" `
-SamAccountName "winsaaf.man" `
-UserPrincipalName "winsaaf.man@scriptdotsh.local" `
-GivenName "winsaaf" -Surname "man" `
-AccountPassword (Read-host -AsSecureString "Enter Password") `
-Enabled $true -server scriptdotsh.local
  1. 批量导入用户
    • 使用PowerShell脚本从CSV文件导入用户信息
    • 可从Microsoft官方仓库获取示例脚本和CSV模板

0x06 辅助服务配置

DHCP服务器

  • 作用:自动分配IP和DNS信息,减少手动配置
  • 安装:通过服务器管理器添加DHCP服务器角色
  • 管理控制台:dhcpmgmt.msc

DNS服务器

  • 安装:通过服务器管理器添加DNS服务器角色
  • 管理控制台:dnsmgmt.msc
  • 建议配置辅助DNS服务器实现负载均衡

0x07 后续扩展计划

  1. 环境扩展

    • 添加SQL服务器、代理服务器
    • 配置身份验证服务
    • 创建子域并建立域间信任
    • 实施组策略限制

  2. 渗透测试模块

    • AD侦察和信息枚举
    • 利用错误配置
    • 基于DC的攻击
    • 使用PowerShell/WMIC进行枚举
    • Kerberos攻击
    • SQL服务器信任滥用

总结

本文档详细记录了Active Directory靶场环境的搭建过程,涵盖了从基础概念到实际部署的完整流程。通过此环境,安全研究人员可以:

  1. 深入理解AD架构和工作原理
  2. 练习基本的AD管理和配置
  3. 为后续的AD渗透测试技术研究奠定基础

后续可在此基础上扩展更复杂的环境配置和攻击场景模拟。

Active Directory 渗透测试靶场搭建与基础概念详解 0x00 前言 本文档基于先知社区文章《Active Directory 渗透测试靶场(一)》整理而成,旨在提供完整的Active Directory(AD)环境搭建指南和基础概念解析,为后续的渗透测试工作奠定基础。 0x01 Active Directory 基本概念 AD (Active Directory) 定义 Active Directory是Windows服务器平台的核心组件,提供目录服务功能: 存储网络对象信息(用户、计算机、服务器、资源等) 采用结构化数据存储方式,进行逻辑分层组织 为管理员提供统一管理网络环境各要素的手段 核心组件 AD域控制器(Domain Controller) 负责域用户认证 运行AD DS (Active Directory Domain Services) 存储AD数据库(ntds.dit文件,默认位于%SYSTEMROOT%\NDTS) LDAP (轻量级目录访问协议) 负责网络资源跟踪和目录服务 DNS服务 对AD工作至关重要 自动管理服务定位记录 Kerberos认证 实现域内单点登录(SSO) 使用统一凭证访问域内资源 GPP (组策略) 定义用户、安全和网络策略 可从中心位置应用到整个域或特定计算机/用户 AD结构术语 域(Domain) : 共享同一AD数据库的网络对象集合 AD树(AD Tree) : 共享连续命名空间的域集合 林(Forest) : 由一个或多个树组成,可包含不连续命名空间 FQDN (全限定域名) : 完整标识对象位置,如 secwing.huahua.pentest.lab 0x02 实验室环境规划 基础架构 域控制器 Windows Server 2012 (实际使用2008替代) 生产环境中可能包含: ADC (附加域控制器) RCDC (只读域控制器) CDC (子域控制器) 客户端机器 Windows 7 Windows 10 成员服务器 SQL服务器 文件服务器 FTP服务器 IIS服务器 代理服务器 防病毒服务器 网络配置 DC使用仅主机模式 仅DC和代理服务器可访问互联网 其他客户端通过代理服务器访问互联网 0x03 域控制器安装指南 图形界面安装步骤 基础准备 更改计算机名称( sysdm.cpl ) 设置静态IP( ncpa.cpl ) 安装AD DS角色 服务器管理器 > 添加角色和功能 > 基于角色的安装 选择"Active Directory域服务" 提升为域控制器 使用AD DS安装向导 设置DSRM密码(用于域服务恢复) PowerShell安装方法 0x04 计算机加入域 加入域步骤 配置客户端网络: IP: 10.10.0.3 DNS: 10.10.0.2 (指向DC) 通过系统属性加入域 组策略相关设置 默认允许认证用户将工作站加入域 域用户默认可在域中添加最多10个系统 由 ms-DS-MachineAccountQuota 属性控制,设置为0可禁用此功能 0x05 用户管理 图形界面方法 打开AD用户和计算机管理( dsa.msc ) 手动创建用户并设置密码 命令行方法 CMD方式 PowerShell方式 批量导入用户 使用PowerShell脚本从CSV文件导入用户信息 可从Microsoft官方仓库获取示例脚本和CSV模板 0x06 辅助服务配置 DHCP服务器 作用:自动分配IP和DNS信息,减少手动配置 安装:通过服务器管理器添加DHCP服务器角色 管理控制台: dhcpmgmt.msc DNS服务器 安装:通过服务器管理器添加DNS服务器角色 管理控制台: dnsmgmt.msc 建议配置辅助DNS服务器实现负载均衡 0x07 后续扩展计划 环境扩展 添加SQL服务器、代理服务器 配置身份验证服务 创建子域并建立域间信任 实施组策略限制 渗透测试模块 AD侦察和信息枚举 利用错误配置 基于DC的攻击 使用PowerShell/WMIC进行枚举 Kerberos攻击 SQL服务器信任滥用 总结 本文档详细记录了Active Directory靶场环境的搭建过程,涵盖了从基础概念到实际部署的完整流程。通过此环境,安全研究人员可以: 深入理解AD架构和工作原理 练习基本的AD管理和配置 为后续的AD渗透测试技术研究奠定基础 后续可在此基础上扩展更复杂的环境配置和攻击场景模拟。