1. 前言

文章记录了笔者对于Windows域渗透的相关学习，本篇内容是基础概念，希望能让大家按照笔者的思路好好梳理Windows域环境及Windows域渗透的相关知识，争取帮助大家做到看这一篇就能入门！同时感谢@vonjk对我的帮助。

BTW：希望大家读完文章，不要像糖三角小姐姐一样，只记住了Kerberos😁。

文章逻辑结构如下

• Windows域渗透指的是什么

• Windows域环境是什么

• Windows资源管理模式有什么

• Windows域环境的原理是什么

• Windows域环境的架构优势

• Windows域环境里的域控有几台

• Windows域渗透拿下域控指的是什么

• Windows域环境下经常说的Kerberos是什么

• Windows域渗透的基本思路

2. Windows域渗透指的是什么

Windows域渗透指的是在Windows域环境下，进行的渗透测试。Windows域渗透的特点是，整个渗透测试过程，渗透策略会遵从Windows域环境的逻辑特点进行，并且在一些渗透阶段体现的非常明显，如信息收集、横向移动、权限维持等。从另一个角度来看，Windows域渗透就是在Windows域体系下，对Windows域的认证逻辑、账号管理、授权体系进行的渗透攻击测试过程。Windows域渗透的最终目标，就是要对当前域环境下的所有机器具有最高控制权，能任意操作、读写当前域环境下的任意机器。

在MITRE ATT&CK知识体系下，针对Windows的Matrix展示了大致攻击者会使用的战术和技术。其中Pass the Hash，Pass the Ticket，Kerberoasting，Credential Dumping，Bypass User Account Control，Process Injection等技术也是大家非常熟悉的。大家可以根据自身的知识体系对其进行扩展学习。相关MITRE ATT&CK学习思路，可以参考MITRE ATT&CK相关学习分享。

3. Windows域环境是什么

Windows域环境是计算机网络的一种形式，其中所有用户帐户、计算机、打印机、其他主体都在域控制器的中央数据库中注册， 身份验证在域控制器上进行。在域中使用计算机的每个人都会收到一个唯一的用户帐户，然后可以为该帐户分配对该域内资源的访问权限。Windows域也是Windows的一种资源管理模式，除此之外，Windows下的资源管理模式还有Windows工作组模式。

4. Windows资源管理模式有什么

局域网（Local Area Network, LAN），又称内网，是指在某一区域内由多台计算机互联构成的计算机组织。局域网内可以实现文件共享、应用软件共享、打印机共享、扫描仪共享、工作日程安排共享、电子邮件和传真通信服务等功能。局域网严格意义上是封闭型的，它可以由办公室内几台甚至上千台计算机组成。

局域网的资源需要管理，“域”、“工作组”就是不同的网络资源管理模式。工作组是最常用、最简单、最普遍的资源管理模式，默认情况下计算机都是采用工作组方式进行资源管理。

• 大学宿舍的内部网络，大家各自电脑间相互独立，这是工作组的资源管理模式。

• 大型企业的内部网络，大家使用域账号登陆办公电脑，这是域的资源管理模式。

5. Windows域环境的原理是什么

我们把Windows的域和工作组联系起来理解，在工作组的资源管理模式上，你一切的设置都在本机上进行，包括各种策略。当用户登录时，直接在本机进行登录，登陆的密码是根据本机存储密码来验证。如果计算机加入Windows域的话，各种访问策略是在域控制器统一设定的，登陆时的用户名和密码也会在域控制器进行验证。

在Windows域环境下，至少有一台服务器负责对接入域环境的计算机进行验证工作，这个服务器称为域控制器（Domain Controller，DC），可以把域控制器简单理解为单位的门禁认证系统。

域控制器中包含了这个域内的账户、密码、域成员信息构成的数据库。当计算机加入Windows域环境时，域控制器首先要鉴别这台计算机是否是属于这个域，比如登陆的账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个计算机登录。

6. Windows域环境的架构优势

Windows域环境模式是企业现代信息系统的基础，目前几乎所有的业务和生产都离不开Windows域环境，比如用户凭证、协同设计、网络盘符等，Windows域环境基础架构也为其他系统提供基础平台，如共享打印、大型数据库、邮件服务器、ServiceDesk等。

        Windows域环境的架构，能为企业主要带来四方面提高。

1. 提高IT运行效率

1. Windows的管理效率提高30%

2. 集中管理服务器和桌面系统

3. 减少目录帐户和密码的数量

2. 对用户实施有效的权限管理

1. 划分不同级别的权限来进行用户管理

2. 限制低级别用户访问高级别用户的相关资源

3. 拒绝未经授权的用户访问域内资源

3. 增强内网环境的网络安全

1. 强制用户使用复杂的密码

2. 通过域的安全边界，实现域内资源的保护，增强企业网络的安全性

3. 通过域的安全更新策略，实现MS WSUS统一更新域内的所有计算机客户端的系统安全补丁

4. 通过对域内资源的权限设置和统一安全策略的制定，减少安全隐患的产生

5. 单一管理对网络资源的访问

4. 提高信息工作生产力

1. 快速找到需要的各种资源

2. 实现单点登录

3. 能提高员工的协作能力

7. Windows域环境里的域控有几台

首先进行概念明确：

1. DC = 域控 = 域控制器 = 域控服务器 = Domain Controller

2. AD = 活动目录 = Active Directory

        在Windows域环境下，运行着Active Directory服务的服务器称为域控制器，域控制器可以有一台，也可以有很多台。Active Directory服务构架本身就是分布式的，各域控制器之间相互作为备份，提供了冗余功能。

• 域控制器（Domain Controller）

  Windows Server系统中，域控制器Domain Controller，是一个在Windows域环境中的接受安全认证请求的服务器。是一台装有Active Directory服务的计算机，也就是我们经常说到的域控服务器。

• 活动目录（Active Directory）

  是面向Windows Server系统的目录服务。Active Directory存储了有关网络对象的信息，并且让管理员和用户能够轻松地查找和使用这些信息。Active Directory使用了一种结构化的数据存储方式，并以此作为基础对目录信息进行合乎逻辑的分层组织。

8. Windows域渗透拿下域控指的是什么

拿下域控指的是，在进行渗透攻击的Windows域环境下，攻击者获得了该环境的最高权限，这也是域渗透的通用的目标之一。

• 拿下域控的具体表现形式有多种

• 获得了域管理员的账号。

• 获得了域控服务器的system权限。

• 拿下域控的具体实现的方法也有多种

• 通过mimikatz读取凭证，在某些关键计算机上，读取到域管理员的密码或NTLM Hash。

• 通过攻击关键软件的漏洞，比如进行EternalBlue漏洞利用，获取到域控制器的system权限。

9. Windows域环境下经常说的Kerberos是什么

首先我们从Kerberos这个单词的本意说起，Kerberos是希腊神话中守卫地狱之门的三头犬的名字，这狗住在冥河岸边，为冥王看守冥界的大门，Kerberos允许每一个死者的灵魂进入冥界，但不让任何人出去。

Kerberos是一种计算机网络授权协议，用来在非安全网络中，对个人通信以安全的手段进行身份认证。之所以使用Kerberos这个单词命名这种授权协议，是因为Kerberos需要三方的共同参与，才能完成一次认证授权。

Windows域环境下，Kerberos是Windows域环境下的基础认证授权策略，Kerberos策略需要三方参与，分别是客户端、KDC（Key Distribution Center）、应用服务器。客户端在Kerberos策略下，进行三次交互完成认证授权。

1. 第一次交互是客户端与KDC里的认证服务AS（Authentication Service）进行请求 TGT 。

2. 第二次交互是客户端与KDC里的授予服务TGS（Ticket Granting Service）进行请求 Ticket 。

3. 第三次交互是客户端与应用服务器进行申请服务授权。

图片引用来自Green_m

围绕着Windows域环境下的Kerberos认证授权策略，衍生出了多种攻击手法，比如进行Pass The Ticket的MS14-068利用、黄金票据（Gold Ticket）、白银票据 （Silver Ticket），比如进行域服务账号撞击破解的Kerberoasting等等。

PS：凭证盗窃，笔者认为最终者还是基于人的对抗，有一些狡猾的攻击者会故意破坏一些文件导致诸如各自办公软件异常，诱使域管理员在该机器上登录帮助受害者进行软件修复，从而之后在受害者的计算机上读取管理员凭证。

10. Windows域渗透的基本思路

由于Windows域环境和企业内网架构的特点，Windows域渗透在传统渗透的基础上，增加了Windows域环境诸多对抗点，比如认证体系的对抗、权限提升的对抗、权限维持的对抗，痕迹清理的对抗。

Windows域渗透的主要思路就是：通过当前域成员主机，收集尽可能多相关信息，并且尝试定位出域控制器IP及域管理员账号，利用域成员主机作为跳板，结合传统渗透方式，继续扩大渗透成果，利用域管理员可以登陆域中任何成员主机的特性，定位出域管理员登陆过的主机IP，最后设法从域成员主机内存中dump出域管理员密码，进而拿下域控制器，获得整个内网的最高权限。

11. 参考资料

• 企业WindowsAD域架构设计方案

  http://www.cloudcnsz.com/page/index/id/46/cname/WindowsAD.html

• 我所了解的内网渗透——内网渗透知识大总结

  https://www.anquanke.com/post/id/92646

• Kérberos

  https://en.wikipedia.org/wiki/Cerberus

• 调戏地狱三头犬 Kerberos

  https://green-m.me/2019/01/24/play-with-kerberos

• 干货！内网渗透测试之域渗透详解！收藏！

  https://www.freebuf.com/company-information/172630.html

• Windows Matrix

  https://attack.mitre.org/matrices/enterprise/windows