收藏不踩坑100个Windows AD域渗透实战全流程蓝队防护指南 附靶机资源本文针对Windows活动目录AD企业内网攻防整理了覆盖信息收集、边界打点、凭证窃取、提权、横向移动、域控获取、权限维持、痕迹清理全流程的100个实战手法附带适用场景与实操要点同时给出蓝队域防护体系文末可领取10套域渗透靶机供合规攻防与内网防护参考。免责声明本文仅用于授权的企业安全测试、攻防研究与防护体系建设严禁用于任何未授权的非法入侵行为。任何使用者违反国家法律法规造成的后果由使用者自行承担作者与平台不承担任何法律责任。一、概述与实验环境说明域渗透是针对 Windows Active Directory活动目录 企业内网环境的攻防技术也是红队攻防演练中的核心环节。企业内网绝大多数业务系统、主机、账号都纳入 AD 域统一管理一旦突破域环境即可控制企业全域的 IT 资产。本文覆盖从初始信息收集、边界打点、凭证窃取、权限提升、横向移动、域控权限获取、权限维持到痕迹清理的全生命周期整理 100 个可落地的实战手法适配企业内网主流的 AD 环境同时配套对应手法的适用场景与实操要点帮助红队人员在合规范围内完成渗透测试也帮助蓝队人员理解攻击手法完善内网防护体系。❝Tips : 在文末可领取10套【域渗透靶机】奥二、100 个域渗透实战手法第一部分域内信息收集手法1-201、 通过 Windows 原生net命令本地枚举域内基础信息无需额外工具执行net user /domain获取域内所有用户列表net group domain admins /domain获取域管组成员net view /domain获取域内所有主机列表适用于刚拿到域内主机权限的初始信息收集无文件落地规避 EDR 检测。2、 通过dsquery命令查询 AD 活动目录对象Windows 原生工具执行dsquery user获取所有域用户dsquery computer获取所有域内主机dsquery ou获取所有组织单元dsquery group获取所有域内组支持 LDAP 筛选语法精准定位高权限用户与敏感主机。3、 通过ldp.exe工具可视化查询 LDAP 目录服务Windows 系统自带工具无需上传可连接域控制器的 389 端口完整枚举域内所有用户、组、计算机、ACL、委派等信息适用于需要可视化梳理域内结构的场景。4、 通过 PowerView 脚本实现全量域内信息枚举PowerShell 生态常用的域信息收集脚本可获取域内用户登录信息、组策略对象、ACL 权限、委派配置、SPN 服务主体名称等全量信息适用于深度梳理域内攻击路径的场景。5、 通过 SharpView 工具实现 .NET 版本的域信息收集无 PowerShell 执行痕迹可绕过 PowerShell 日志审计与执行限制功能与 PowerView 完全一致适用于目标主机禁用 PowerShell 的场景。6、 通过 BloodHound 绘制域内攻击路径图红队域渗透标配工具通过 SharpHound 采集器收集域内 ACL、组、用户、委派、会话等信息导入 BloodHound 后自动生成可视化攻击路径一键定位从当前用户到域控的最短攻击路径。7、 通过 ADExplorer 工具离线浏览 AD 数据库微软官方 Sysinternals 工具可连接域控制器导出完整的 AD 数据库离线分析域内所有对象信息无需持续在线连接域控规避流量检测。8、 通过nltest命令枚举域信任关系Windows 原生命令执行nltest /domain_trusts获取当前域的所有信任关系包括父域、子域、外部信任、林信任快速定位跨域攻击的入口。9、 通过gpresult命令枚举组策略对象Windows 原生命令执行gpresult /r /scope computer获取当前主机应用的组策略gpresult /h gpo.html导出完整的组策略报告可从中获取密码策略、登录脚本、软件部署、防火墙规则等敏感信息。10、 通过sc命令与tasklist命令枚举域内主机的服务与进程定位高价值软件比如杀毒软件、备份软件、数据库、运维管理系统从中寻找提权与凭证窃取的突破口。11、 通过quser、qwinsta命令枚举当前主机与远程主机的登录会话查看是否有域管用户在线在线会话可通过令牌窃取直接获取域管权限是横向移动的高价值目标。12、 通过setspn命令枚举域内所有 SPN 服务主体名称Windows 原生命令执行setspn -T test.local -Q */*获取域内所有 SPNSPN 对应域内的各类服务是 Kerberoast 攻击的基础可从中定位可攻击的服务账号。13、 通过certutil命令枚举 ADCS 证书服务信息Windows 原生命令执行certutil -config - -ping查看当前域的 ADCS 证书服务器certutil -CAinfo获取 CA 证书信息是 ADCS 相关攻击的前置信息收集步骤。14、 通过 PowerShell 的 ActiveDirectory 模块查询 AD 信息域控制器默认安装域内主机可手动导入支持完整的 AD 对象查询、筛选、导出可精准定位高权限用户、未过期的用户账号、禁用的账号等信息。15、 通过dir命令枚举域内 SYSVOL 共享目录域内所有主机都可访问的 SYSVOL 共享存储了域内所有组策略的脚本、配置文件其中往往包含域用户的明文密码、加密的凭据是域渗透中高价值的信息收集点。16、 通过net use命令枚举域内共享文件夹执行net view //主机名查看目标主机的共享目录net use * //主机名/共享名挂载共享批量枚举域内主机的共享文件从中获取敏感文档、备份文件、账号密码等信息。17、 通过dnsdump与nslookup枚举域内 DNS 记录Windows 原生nslookup工具可查询域控制器的地址、邮件服务器、子域、主机的 A/AAAA 记录定位域内未公开的高价值主机比如备份服务器、运维管理服务器。18、 通过wevtutil命令分析 Windows 安全日志从登录日志、进程创建日志中获取域内用户的登录习惯、常用主机、管理账号的登录地址梳理域内管理链路定位横向移动的目标。19、 通过Get-ADUser命令筛选域内高风险用户比如设置了密码永不过期的用户、密码未更改超过 180 天的用户、具备 SPN 的服务账号、域管权限的用户精准定位暴力破解与口令喷洒的目标。20、 通过 Ping Sweep 与 ARP 扫描探测域内存活主机使用nmap、fscan等工具快速扫描域内网段定位所有存活主机、开放的端口、运行的服务绘制域内网络拓扑为横向移动提供目标列表。第二部分外网边界突破与初始打点手法21-3021、 通过 OWAS/Exchange 服务口令喷洒获取初始权限针对企业外网暴露的 Outlook Web App 邮件服务使用收集到的域用户名列表配合弱口令字典进行口令喷洒成功后可获取域用户凭据直接进入域内环境。22、 通过 VPN 服务口令喷洒与漏洞利用突破边界针对企业外网的 SSL VPN、IPSec VPN 服务利用弱口令、默认口令、已知的 VPN 产品漏洞如 CVE-2019-19781获取访问权限接入企业内网直接获得域内网络访问权限。23、 通过 Web 应用漏洞打点获取服务器权限针对企业外网暴露的 Web 站点利用 SQL 注入、文件上传、命令执行、SSRF 等高危漏洞获取 Web 服务器的系统权限若 Web 服务器加入了域即可直接获得域内主机的初始权限。24、 通过钓鱼邮件获取初始权限制作伪装成企业内部通知、发票、会议邀请的钓鱼邮件附带恶意宏文档、恶意链接、可执行程序诱导员工执行获取员工主机的权限员工主机加入域后即可进入域内环境。25、 通过 RDP 服务口令喷洒与漏洞利用突破边界针对外网暴露的 3389 远程桌面服务利用弱口令、口令喷洒或 BlueKeep 等 RDP 远程代码执行漏洞获取 Windows 主机权限若主机加入域即可获得域内初始权限。26、 通过 Redis 等未授权访问服务突破边界针对外网暴露的 Redis、MongoDB、Elasticsearch 等未授权访问的数据库服务利用主从复制、计划任务写入等方式获取服务器权限进入内网环境。27、 通过供应链攻击获取初始权限针对企业使用的第三方软件、插件、运维工具植入恶意代码当企业内部主机安装或运行该软件时获取主机权限进入域内环境。28、 通过 FTP/SMB 服务匿名访问突破边界针对外网暴露的匿名 FTP、SMB 共享服务获取企业内部的敏感文档、账号密码、配置文件利用获取的凭据登录域内服务获得初始权限。29、 通过 Jenkins 等运维系统未授权访问突破边界针对外网暴露的 Jenkins、GitLab、K8s Dashboard 等运维管理系统利用未授权访问、默认口令、远程代码执行漏洞获取服务器权限进入内网环境。30、 通过无线渗透接入企业内网针对企业办公区的 WiFi 无线网络利用 WiFi 密码破解、WPS 漏洞、Evil Twin 攻击等方式接入企业内网直接获得域内网络访问权限开展后续渗透。第三部分凭证窃取与哈希抓取手法31-4531、 通过mimikatz抓取内存中的明文密码与 NTLM 哈希域渗透标配工具从 LSASS 进程内存中抓取当前登录用户的明文密码、NTLM 哈希、Kerberos 票据支持本地管理员权限运行是常用的凭证窃取手法。32、 通过 Procdump mimikatz 离线抓取凭证规避 EDR 检测先使用微软官方的 Procdump 工具导出 LSASS 进程的内存 dump 文件将 dump 文件下载到本地再用mimikatz离线解析凭证避免恶意工具在目标主机上运行触发告警。33、 通过 Rubeus 工具抓取与操作 Kerberos 票据C# 编写的 Kerberos 票据操作工具无 PowerShell 痕迹可抓取内存中的 TGT、ST 票据申请票据进行 Pass the Ticket 票据传递攻击适用于禁用 PowerShell 的环境。34、 通过 SAM 与 SYSTEM 注册表 hive 导出本地账号哈希Windows 原生命令即可实现先执行reg save HKLM/SAM SAM、reg save HKLM/SYSTEM SYSTEM导出注册表文件再用mimikatz或samdump2解析出本地所有用户的 NTLM 哈希适用于无法在线抓取 LSASS 内存的场景。35、 通过 NTDS.dit 文件导出全域所有用户哈希NTDS.dit 是 AD 活动目录的数据库文件存储在域控制器上包含全域所有用户、计算机的 NTLM 哈希可通过vssadmin创建卷影副本导出 NTDS.dit 与 SYSTEM hive再用secretsdump.py解析出全域哈希是域渗透中全面的凭证窃取手法。36、 通过secretsdump.py远程导出域内主机哈希Impacket 套件中的工具使用本地管理员账号的 NTLM 哈希通过 SMB 协议远程导出目标主机的 SAM 哈希或域控制器的 NTDS.dit 哈希无需在目标主机上传工具规避终端检测。37、 通过 LaZagne 工具全量抓取各类软件凭证开源的凭证抓取工具可抓取浏览器、FTP、SSH、RDP、数据库、邮箱客户端等各类软件保存的账号密码适用于从员工主机中获取各类服务的凭据。38、 通过 SharpDPAPI 工具解密 DPAPI 保护的凭证C# 编写的 DPAPI 解密工具可解密 Windows 系统中通过 DPAPI 加密的浏览器密码、WiFi 密码、证书、凭据管理器中的内容无需管理员权限即可解密当前用户的加密数据。39、 通过 Kerberos 票据导出与重用从内存中导出域用户的 TGT 票据通过 Pass the Ticket 攻击在其他主机上重用该票据无需知道用户的密码即可访问该用户有权限的资源规避密码修改带来的权限失效。40、 通过 WMI 远程抓取目标主机凭证使用wmic命令或 CIM 类远程执行命令在目标主机上导出注册表 hive或执行凭证抓取脚本无需在目标主机上落地文件规避终端检测。41、 通过组策略首选项 GPP 密码解密域内 SYSVOL 共享中的组策略首选项文件会包含加密的本地管理员密码、域账号密码微软公布了加密的私钥可通过gpp-decrypt工具直接解密出明文密码是域内常见的凭证泄露点。42、 通过 RDP 会话劫持获取权限使用mimikatz或tscon工具劫持目标主机上已登录的用户的 RDP 会话无需知道用户密码即可直接获得该用户的桌面权限包括域管用户的会话直接获取高权限。43、 通过 LSASS 内存 dump 的其他方式比如使用rundll32、comsvcs.dll原生系统 dll 导出 LSASS 内存执行命令rundll32.exe comsvcs.dll, MiniDump 进程ID C:/lsass.dmp full无需上传第三方工具规避 EDR 检测。44、 通过浏览器密码抓取从 Chrome、Edge、Firefox 等浏览器中解密保存的网站账号密码包括企业内部管理系统、VPN、邮件系统的账号获取更多的凭据扩大攻击面。45、 通过键盘记录器窃取明文密码在员工主机上植入键盘记录器记录用户输入的账号密码包括域账号、邮箱、VPN 的密码适用于无法直接抓取内存凭证的场景。第四部分本地权限提升手法46-5546、 通过 Windows 系统内核漏洞提权利用微软发布的 Windows 内核提权漏洞比如 CVE-2021-16751 PrintNightmare、CVE-2023-28252、CVE-2024-21347 等从普通用户权限直接提升到 System 权限适用于未打补丁的 Windows 主机。47、 通过错误配置的服务权限提权当 Windows 服务的二进制文件路径具备 Users 组写入权限或服务配置可被普通用户修改时可替换服务的二进制文件或修改服务的执行路径重启服务后获得 System 权限是 Windows 主机常见的提权手法。48、 通过错误配置的注册表权限提权当服务对应的注册表项具备普通用户修改权限时可修改服务的 ImagePath 路径指向恶意程序重启服务后获得 System 权限或修改系统启动项实现开机自启提权。49、 通过 AlwaysInstallElevated 策略提权当组策略开启了 AlwaysInstallElevated普通用户安装 MSI 安装包时会以 System 权限运行可制作恶意 MSI 安装包执行后直接获得 System 权限是域内常见的错误配置提权手法。50、 通过计划任务权限错误提权当系统中的计划任务的执行脚本、二进制文件可被普通用户修改或计划任务的配置可被普通用户修改时可替换执行文件或修改计划任务的执行命令等待计划任务触发后获得高权限。51、 通过 SUID/SGID 权限错误提权针对域内的 Linux 主机当可执行文件配置了 SUID 权限所有者为root时普通用户执行该文件可获得root权限可通过find / -perm -4000命令查找这类文件利用错误配置的 SUID 文件提权。52、 通过sudo权限配置错误提权针对域内的 Linux 主机当普通用户的sudo权限配置了可执行的高危命令比如vim、bash、find、python等可通过sudo执行这些命令直接从普通用户提升到root权限。53、 通过数据库服务提权当主机上运行的 MySQL、MSSQL 数据库以 System/root权限运行且获得了数据库的管理员权限时可通过数据库的自定义函数、命令执行功能执行系统命令获得主机的高权限。54、 通过令牌窃取提权使用mimikatz、incognito工具窃取系统中已存在的高权限令牌比如域管用户的登录令牌、System 权限的令牌模拟令牌执行命令直接获得对应的高权限无需知道密码。55、 通过可信任的父进程绕过 UAC 提权利用 Windows 系统中可信任的、自动绕过 UAC 的进程比如cmstp.exe、fodhelper.exe通过修改注册表让这些进程执行恶意命令绕过 UAC 限制从普通管理员提升到完整的 System 权限。第五部分内网横向移动手法56-7056、 通过 Pass the Hash 哈希传递攻击横向移动使用获取到的用户 NTLM 哈希无需解密成明文密码通过 SMB、WMI 等协议远程登录目标主机执行命令是域内常用的横向移动手法适用于知道用户哈希但不知道明文密码的场景。57、 通过 Pass the Ticket 票据传递攻击横向移动使用获取到的用户 Kerberos TGT/ST 票据在本地导入后无需用户密码即可访问该票据对应的服务资源比如目标主机的 CIFS 共享、WinRM 服务规避 NTLM 认证的监控是域内隐蔽的横向移动手法。58、 通过 SMB 协议与psexec工具横向移动使用 Sysinternals 的psexec工具或 Impacket 套件的psexec.py通过合法的用户凭据在目标主机上创建远程服务执行系统命令获得交互式 Shell是经典的横向移动手法。59、 通过 WMI 协议远程执行命令横向移动Windows 原生支持的 WMI 协议使用wmic命令、cscript脚本或 Impacket 的wmiexec.py工具通过用户凭据远程在目标主机上执行命令无需在目标主机上落地文件且默认不会留下日志隐蔽性强。60、 通过 WinRM 协议横向移动Windows 远程管理协议使用原生的winrs命令或 PowerShell 的Invoke-Command命令远程在目标主机上执行命令获得交互式 Shell适用于开启了 WinRM 服务的域内主机是企业内网常用的管理协议流量不易被检测。61、 通过 DCOM 分布式组件对象模型横向移动利用 Windows 系统的 DCOM 组件比如 Excel.Application、ShellBrowserWindow通过合法凭据远程实例化 DCOM 对象执行系统命令无需开启额外服务Windows 系统默认支持隐蔽性极强。62、 通过 SMB 共享文件挂载与计划任务横向移动先将恶意脚本上传到目标主机的可写共享目录再通过schtasks命令远程创建计划任务执行共享目录中的恶意脚本等待计划任务触发后获得目标主机的权限规避直接的远程命令执行检测。63、 通过 RDP 远程桌面横向移动使用获取到的用户凭据通过 3389 端口远程登录目标主机的桌面获得完整的图形化操作权限适用于需要图形化界面操作的场景同时可劫持已登录的用户会话无需密码。64、 通过 SSH 协议横向移动针对域内的 Linux 主机、开启了 SSH 服务的 Windows 主机使用获取到的账号密码或 SSH 密钥远程登录目标主机执行命令获得 Shell 权限是跨平台横向移动的常用手法。65、 通过 SQL Server 数据库链接横向移动针对域内的 MSSQL 数据库利用获取到的数据库权限通过数据库的链接服务器功能访问其他数据库服务器执行系统命令获取数据库服务器的主机权限是针对企业内网数据库集群的横向移动手法。66、 通过 Exchange 邮件服务器横向移动针对域内的 Exchange 服务器利用获取到的 Exchange 管理员权限或 Exchange 相关漏洞在邮件服务器上执行命令获取权限Exchange 服务器通常具备高权限是域内横向移动的高价值目标。67、 通过 ICMP、DNS、HTTP 隧道绕过内网防火墙横向移动当内网防火墙限制了常见的横向端口时可通过 ICMP 隧道、DNS 隧道、HTTP/S 隧道将 Shell 流量封装在合法的协议中绕过防火墙限制访问隔离网段的主机实现跨网段横向移动。68、 通过 Socks 代理搭建内网穿透横向移动在已控主机上搭建 Socks4/5 代理将攻击机接入内网环境直接访问内网所有存活主机使用各类工具对内网主机进行扫描、漏洞利用、横向移动是域渗透中必备的内网访问手法。69、 通过域内主机的信任关系横向移动利用主机间的本地管理员密码复用、共享的本地账号从一台已控主机横向移动到其他使用相同密码的主机扩大控制范围是企业内网常见的横向移动突破口。70、 通过打印服务漏洞横向移动利用 Windows 打印服务的相关漏洞比如 PrintNightmare、CVE-2024-21347通过内网开放的打印服务端口远程在目标主机上执行代码获得权限无需用户凭据是无凭据横向移动的常用手法。第六部分域控权限获取手法71-8571、 通过域管账号凭据直接登录域控当通过凭证窃取、哈希抓取获得了域管账号的明文密码或 NTLM 哈希后可通过哈希传递、票据传递、RDP、WinRM 等方式直接登录域控制器获得域控的最高权限是直接的域控获取手法。72、 通过 Kerberoast 攻击获取服务账号哈希进而提权到域控针对域内设置了 SPN 的服务账号通过 Kerberos 协议申请该服务的 ST 票据票据使用服务账号的 NTLM 哈希加密可离线暴力破解票据获得服务账号的明文密码若服务账号具备域管权限即可直接控制域控。73、 通过 AS-REP Roasting 攻击获取域用户哈希针对域内设置了 “不要求 Kerberos 预身份验证” 的用户可直接向域控制器申请该用户的 AS-REP 数据包数据包使用用户的 NTLM 哈希加密可离线暴力破解获得用户明文密码若用户具备高权限即可获取域控权限。74、 通过白银票据攻击伪造服务票据访问域控白银票据是伪造的 Kerberos ST 服务票据使用服务账号的 NTLM 哈希加密可直接伪造域控制器的 CIFS 服务、LDAP 服务的票据无需向域控申请 TGT直接访问域控的文件共享、LDAP 服务获得域控权限。75、 通过黄金票据攻击伪造 TGT 票据获得全域权限黄金票据是伪造的 Kerberos TGT 票据使用krbtgt账号的 NTLM 哈希加密可伪造任意域用户的 TGT 票据包括域管用户拥有黄金票据即可访问域内任意资源获得全域的最高权限是域内常用的权限维持手法。76、 通过 MS14-068 漏洞伪造 Kerberos 票据提权针对未打补丁的域控制器利用 CVE-2014-6324 漏洞普通域用户可向域控申请带有域管权限的 TGT 票据无需域管凭据直接从普通域用户提升到域管权限获得域控控制权。77、 通过 ACL 访问控制列表错误配置提权当域内普通用户对域控对象、域管理员组、krbtgt账号具备修改权限、添加用户权限、重置密码权限等高危 ACL 时可直接修改域管账号密码、将自己添加到域管组获得域控权限是 BloodHound 常发现的攻击路径。78、 通过基于资源的约束委派攻击提权当域内主机的计算机账号配置了基于资源的约束委派或普通用户具备修改主机对象的msDS-AllowedToActOnBehalfOfOtherIdentity属性的权限时可伪造任意用户对该主机的服务票据获得该主机的 System 权限若目标是域控制器即可直接获得域控权限。79、 通过非约束委派攻击获取域管票据当域内主机开启了非约束委派域管用户登录该主机时会将自己的 TGT 票据发送给该主机可直接导出域管的 TGT 票据通过票据传递攻击访问域控获得域控权限是域内高风险的配置漏洞。80、 通过约束委派攻击提权当域内的用户或计算机账号配置了约束委派允许委派到域控制器的 LDAP、CIFS 等服务时可伪造任意用户的票据访问域控的对应服务获得域控权限是域内常见的高风险配置。81、 通过 ADCS 证书服务漏洞攻击获取域控权限针对域内的 ADCS 活动目录证书服务利用 ESC1 到 ESC8 等常见的证书服务漏洞普通域用户可申请域管理员的证书通过证书申请 Kerberos 票据获得域管权限控制域控是近年域渗透的主流攻击手法。82、 通过 GPO 组策略对象攻击获取域控权限当普通用户具备修改域内组策略对象的权限且该组策略应用到域控制器时可修改组策略添加计划任务、启动脚本在域控制器上执行恶意命令获得域控权限是域内常见的攻击路径。83、 通过 DCSync 攻击导出全域用户哈希获得域控权限当域用户具备域控的 DS-Replication-Get-Changes、DS-Replication-Get-Changes-All 等复制权限时可通过mimikatz、secretsdump.py等工具模拟域控制器的复制行为从域控导出 NTDS.dit 中的全域所有用户哈希包括krbtgt与域管账号获得全域最高权限。84、 通过域控制器备份文件获取 NTDS.dit企业通常会定期备份域控制器若能访问备份服务器、共享存储中的域控备份文件可直接导出备份中的 NTDS.dit 与 SYSTEM hive解析出全域所有用户哈希获得域控权限是实战中常见的域控获取手法。85、 通过 Exchange 服务器漏洞获取域控权限Exchange 服务器通常具备高权限的域账号且与域控制器深度交互利用 Exchange 的远程代码执行漏洞比如 ProxyLogon、ProxyShell先获得 Exchange 服务器的权限再通过 Exchange 的高权限账号直接访问域控获得全域权限。第七部分域内权限维持手法86-9586、 通过黄金票据实现全域持久化权限使用krbtgt账号的 NTLM 哈希伪造任意域用户的 TGT 票据只要krbtgt账号的密码不修改黄金票据就一直有效可随时获得域内任意资源的访问权限是域内经典的权限维持手法。87、 通过白银票据实现指定服务的持久化访问使用服务账号的哈希伪造对应服务的 ST 票据无需与域控交互即可持续访问该服务比如域控的文件共享、LDAP 服务隐蔽性强不易被检测。88、 通过 DSRM 账号实现域控持久化权限域控制器的目录服务还原模式 DSRM 账号默认不会同步修改密码可修改 DSRM 账号的密码将其与域管理员账号绑定通过 DSRM 账号登录域控制器获得 System 权限即使域管密码修改仍能控制域控。89、 通过 ACL 后门实现持久化权限给普通域用户配置对域根对象、域管理员组、域控对象的高危 ACL 权限比如重置密码、修改组成员、复制目录权限无需修改域内账号密码也无需留下票据隐蔽性极强即使域管密码全部修改仍能随时提升到域管权限。90、 通过 SID History 历史 SID 注入实现持久化权限给普通域用户的 SID History 属性中添加域管理员组的 SID系统会认为该用户具备域管理员的所有权限即使该用户不在域管组中也能访问域内所有资源是隐蔽的权限维持手法。91、 通过组策略脚本实现全域持久化修改域内的默认组策略添加登录脚本、启动脚本当域内主机或用户登录时自动执行恶意脚本获得主机权限可覆盖全域所有主机是大规模的权限维持手法。92、 通过 WMI 永久事件订阅实现主机持久化在域控或已控主机上创建 WMI 永久事件订阅设置触发条件比如系统启动、用户登录时执行恶意代码获得权限无文件落地隐蔽性极强很难被常规排查发现。93、 通过计划任务后门实现持久化权限在域控或已控主机上创建隐蔽的计划任务设置定时触发、开机触发、事件触发条件定期执行恶意代码反弹 Shell实现长期权限控制是常用的主机持久化手法。94、 通过 ADCS 证书持久化给普通域用户申请一个长期有效的域管理员证书即使域管密码修改、Kerberos 票据失效仍能通过证书申请域管的 Kerberos 票据获得域控权限是近年主流的域内持久化手法。95、 通过服务后门实现持久化权限在已控主机上创建伪装成系统服务的恶意服务设置开机自启、异常自动重启实现长期的权限控制服务名伪装成系统常用名称降低被排查发现的概率。第八部分痕迹清理与反溯源手法96-10096、 通过wevtutil工具精准清理 Windows 安全日志使用wevtutil命令筛选出包含攻击 IP、攻击账号、恶意操作的日志条目精准删除保留正常业务日志避免全量清空日志触发告警是域内痕迹清理的基础手法。97、 清理横向移动留下的服务、计划任务、注册表痕迹横向移动完成后立即删除创建的远程服务、计划任务、WMI 事件订阅清理注册表中留下的攻击痕迹避免蓝队通过残留的配置还原攻击路径。98、 清理 Kerberos 票据与凭证缓存操作完成后使用mimikatz、Rubeus工具清理本地导入的 Kerberos 票据清理 Windows 凭据管理器中的缓存凭据避免蓝队通过留存的票据溯源攻击行为。99、 清理 PowerShell 执行日志与命令历史删除 PowerShell 的命令历史文件清理 PowerShell 的模块日志、脚本块日志、转录日志中的恶意操作记录避免蓝队通过 PowerShell 日志还原攻击命令与脚本。100、 伪造日志填补时间断档清理完攻击相关的日志后伪造与正常业务行为一致的登录、访问日志填补日志中的时间断档避免蓝队通过日志空白区间发现攻击行为同时修改日志文件的时间戳与系统原生日志保持一致规避修改痕迹检测。三、蓝队域环境防护体系针对上述 100 个域渗透手法蓝队可通过以下维度构建完整的内网防护体系阻断红队攻击路径1、 最小权限原则管控严格限制域内用户与计算机账号的权限禁止普通用户具备高危 ACL 权限、本地管理员权限关闭不必要的非约束委派、约束委派配置从根源缩小攻击面。2、 强密码策略与账号管控开启域内强密码策略定期轮换域管账号、krbtgt账号、服务账号的密码禁用不必要的域用户清理废弃账号关闭 “不要求 Kerberos 预身份验证” 的危险配置。3、 内网流量监控与检测部署内网 IDS/NDR监控内网主机之间的 SMB、WMI、WinRM、RDP 等管理协议流量识别异常的横向连接、口令喷洒、票据请求行为实时告警。4、 终端防护与 EDR 部署在所有域内主机部署 EDR 终端防护工具监控 LSASS 内存访问、凭证抓取、远程命令执行、恶意代码执行等高危行为实时阻断攻击。5、 AD 与 ADCS 安全加固定期审计 AD 活动目录的 ACL 权限、委派配置、组策略设置修复高危配置漏洞加固 ADCS 证书服务关闭危险的证书模板配置防范证书相关攻击。6、 不可篡改的日志体系配置所有域内主机、域控制器的安全日志实时同步到远程不可篡改的日志平台开启全量行为审计监控日志清理、修改行为为溯源反制提供完整依据。7、 定期安全评估与演练定期开展域环境安全评估通过 BloodHound 排查危险攻击路径修复高危漏洞与错误配置定期开展红蓝对抗演练提升应急响应与溯源反制能力。结尾声明本文所有内容均为攻防研究与安全防护提供技术参考任何组织与个人必须在获得合法授权的前提下使用相关技术严禁用于非法攻击活动。网络空间不是法外之地请严格遵守《中华人民共和国网络安全法》等相关法律法规。互动话题如果你对网络攻防技术感兴趣想学习更多网安方面的知识和工具可以看看以下题外话题外话黑客/网络安全学习路线今天只要你给我的文章点赞我私藏的网安学习资料一样免费共享给你们来看看有哪些东西。网络安全学习资源分享:下面给大家分享一份2026最新版的网络安全学习路线资料帮助新人小白更系统、更快速的学习黑客技术一、2026最新网络安全学习路线一个明确的学习路线可以帮助新人了解从哪里开始按照什么顺序学习以及需要掌握哪些知识点。对于从来没有接触过网络安全的同学我们帮你准备了详细的学习成长路线图学习规划。可以说是最科学最系统的学习路线大家跟着这个大的方向学习准没问题。**读者福利 |***CSDN大礼包《网络安全入门进阶学习资源包》免费分享 *安全链接放心点击我们把学习路线分成L1到L4四个阶段一步步带你从入门到进阶从理论到实战。L1级别:网络安全的基础入门L1阶段我们会去了解计算机网络的基础知识以及网络安全在行业的应用和分析学习理解安全基础的核心原理关键技术以及PHP编程基础通过证书考试可以获得NISP/CISP。可就业安全运维工程师、等保测评工程师。L2级别网络安全的技术进阶L2阶段我们会去学习渗透测试包括情报收集、弱口令与口令爆破以及各大类型漏洞还有漏洞挖掘和安全检查项目可参加CISP-PTE证书考试。L3级别网络安全的高阶提升L3阶段我们会去学习反序列漏洞、RCE漏洞也会学习到内网渗透实战、靶场实战和技术提取技术系统学习Python编程和实战。参加CISP-PTE考试。L4级别网络安全的项目实战L4阶段我们会更加深入进行实战训练包括代码审计、应急响应、红蓝对抗以及SRC的挖掘技术。并学习CTF夺旗赛的要点和刷题整个网络安全学习路线L1主要是对计算机网络安全的理论基础的一个学习掌握而L3 L4更多的是通过项目实战来掌握核心技术针对以上网安的学习路线我们也整理了对应的学习视频教程和配套的学习资料。二、技术文档和经典PDF书籍书籍和学习文档资料是学习网络安全过程中必不可少的我自己整理技术文档包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点电子书也有200多本书籍含电子版PDF三、网络安全视频教程对于很多自学或者没有基础的同学来说书籍这些纯文字类的学习教材会觉得比较晦涩难以理解因此我们提供了丰富的网安视频教程以动态、形象的方式展示技术概念帮助你更快、更轻松地掌握核心知识。网上虽然也有很多的学习资源但基本上都残缺不全的这是我自己录的网安视频教程上面路线图的每一个知识点我都有配套的视频讲解。四、网络安全护网行动/CTF比赛学以致用当你的理论知识积累到一定程度就需要通过项目实战在实际操作中检验和巩固你所学到的知识同时为你找工作和职业发展打下坚实的基础。五、网络安全工具包、面试题和源码“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等感兴趣的同学不容错过。面试不仅是技术的较量更需要充分的准备。在你已经掌握了技术之后就需要开始准备面试我们将提供精心整理的网安面试题库涵盖当前面试中可能遇到的各种技术问题让你在面试中游刃有余。如果你是要找网安方面的工作它们绝对能帮你大忙。这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的如果大家有好的题目或者好的见解欢迎分享。参考解析深信服官网、奇安信官网、Freebuf、csdn等内容特点条理清晰含图像化表示更加易懂。内容概要包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…**读者福利 |***CSDN大礼包《网络安全入门进阶学习资源包》免费分享 *安全链接放心点击文章来自网上侵权请联系博主测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…**读者福利 |***CSDN大礼包《网络安全入门进阶学习资源包》免费分享 *安全链接放心点击文章来自网上侵权请联系博主文章来自网上侵权请联系博主