Active Directory 攻撃ロードマップ
このページは、サイト内の Active Directory 関連記事を読むための入口です。許可されたラボや診断を前提に、列挙、認証情報の検証、攻撃経路分析、個別手法、報告までの順番で整理しています。
読む順番
| 順番 | トピック | 目的 |
|---|---|---|
| 1 | Active Directory 列挙チェックリスト | ノイズの高い操作の前にドメイン構造を把握する。 |
| 2 | NetExecコマンドチートシート | SMB、LDAP、WinRM、パスワードスプレー、アクセス確認を整理する。 |
| 3 | Kerberos OSCP 攻撃テクニック | Kerberoasting、AS-REP roasting、チケット、信頼境界を理解する。 |
| 4 | GetNPUsers.py を深掘りしてみた | AS-REP roastable ユーザーのリスクを確認する。 |
| 5 | GetUserSPNs.py を深掘りしてみた | SPN アカウントと Kerberoasting の流れを整理する。 |
| 6 | BloodHound Attack Pathチートシート | 収集データを攻撃経路と修正優先度に変換する。 |
| 7 | AD CS ESC攻撃まとめ | 証明書サービスの攻撃面を理解する。 |
| 8 | Certipyを深掘りしてみた | ESC1、ESC8、Shadow Credentials などを実践的に確認する。 |
| 9 | ntlmrelayx.pyを深掘りしてみた | SMB Signing、LDAP Relay、RBCD、AD CS ESC8 をつなげて理解する。 |
| 10 | RBCD 攻撃ガイド | 委任設定の悪用と報告観点を整理する。 |
| 11 | secretsdump.pyガイド | DCSync、NTDS.dit、SAM、LSA Secrets の確認観点を整理する。 |
| 12 | Mimikatzコマンドチートシート | LSASS、Kerberosチケット、Pass-the-Hash、DCSync の出力を理解する。 |
| 13 | ラテラルムーブメントまとめ | 認証情報検証から制御された横展開へ進む。 |
| 14 | Windows権限昇格まとめ | ホスト権限昇格をドメイン侵害経路につなげて整理する。 |
目的別の最短ルート
| 状況 | 最初に読む | 次に読む |
|---|---|---|
| ドメインユーザーを1つ得た | AD列挙チェックリスト | NetExec、BloodHound |
| SMB Signing 無効ホストを見つけた | ntlmrelayx.py | AD CS、Certipy |
| SPN や preauth の問題を見つけた | Kerberos攻撃 | GetUserSPNs.py、GetNPUsers.py |
| ローカル管理者権限や複製権限がある | secretsdump.py | Mimikatz、ラテラルムーブメント |
| 報告書向けに整理したい | BloodHound | AD CS、Windows権限昇格 |
実践フロー
- スコープ、ドメイン名、ドメインコントローラ、許可された検証時間を確認する。
- DNS、SMB、LDAP、Kerberos、WinRM、MSSQL、AD CS の露出を列挙する。
- スプレーや認証試行の前に、パスワードポリシーとロックアウト条件を確認する。
- 失敗回数を制限しながら認証情報を検証し、どこで通るかを記録する。
- BloodHound データを収集し、影響度の高い経路から優先度を付ける。
- 1つの攻撃経路ごとに、低影響の証跡から確認する。
- 各結果を、ポリシー、ACL、委任、証明書テンプレート、資格情報管理、監視の改善に落とし込む。
関連Writeup
AD風の列挙や資格情報ワークフローの補助として読みやすい記事です。