当前位置：首页 > news >正文

如何使用FarsightAD在活动目录域中检测攻击者部署的持久化机制

news 文章来源：https://blog.csdn.net/text2205/article/details/129303048 2024/11/15 0:07:30

关于FarsightAD

FarsightAD是一款功能强大的PowerShell脚本，该工具可以帮助广大研究人员在活动目录域遭受到渗透攻击之后，检测到由攻击者部署的持久化机制。

该脚本能够生成并导出各种对象及其属性的CSV/JSON文件，并附带从元数据副本中获取到的时间戳信息。除此之外，如果使用了复制权限执行该工具的话，则可以利用目录复制服务（DRS）协议来检测完全或部分隐藏的对象。

工具下载

广大研究人员可以使用下列命令将该项目源码克隆至本地

git clone https://github.com/Qazeer/FarsightAD.git

工具要求

FarsightAD需要[ PowerShell 7](https://docs.microsoft.com/en-
us/powershell/scripting/install/installing-powershell-on-
windows)以及对应版本的ActiveDirectory模块。在Windows 10/11操作系统上，可以通过[
可选功能](https://docs.microsoft.com/en-us/troubleshoot/windows-server/system-
management-components/remote-server-administration-tools)来安装该模块。

如果安装成功，则可以使用下列命令来更新该模块：

Add-WindowsCapability -Online -Name Rsat.ServerManager.Tools~~~~0.0.1.0

如果模块成功更新完成，那么Get-Command Get-ADObject则会返回下列信息：

CommandType     Name                                               Version    Source-----------     ----                                               -------    ------Cmdlet          Get-ADObject                                       1.0.X.X    ActiveDirectory

工具下载

广大研究人员可以使用下列命令将该项目源码克隆至本地：

git clone https://github.com/Qazeer/FarsightAD.git

工具基础使用

. .\FarsightAD.ps1Invoke-ADHunting [-Server <DC_IP | DC_HOSTNAME>] [-Credential <PS_CREDENTIAL>] [-ADDriveName <AD_DRIVE_NAME>] [-OutputFolder <OUTPUT_FOLDER>] [-ExportType <CSV | JSON>]

工具使用演示

在下列使用样例中，我们将进行完整/部分的隐藏对象检测。

添加一个完整的隐藏用户：

隐藏一个用户的SID History属性：

使用Export-ADHuntingHiddenObjectsWithDRSRepData发现完整/部分隐藏用户：

最后

分享一个快速学习【网络安全】的方法，「也许是」最全面的学习方法：
1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

在这里插入图片描述