# Certified Red Team Expert (CRTE) 认证红队专家课程
该高级训练营旨在帮助安全专业人员了解、分析和练习现代多林 Active Directory 环境(具有完全补丁的 Server 2019 计算机)中的威胁和攻击。
除了学习流行的策略、技术和程序 (TTP) 之外,您还将看到它们如何针对跨森林信任的攻击而变化。您还将了解如何滥用或绕过现代 Windows 防御,例如高级威胁分析、本地管理员密码解决方案 (LAPS)、Just Enough Administration (JEA)、基于资源的约束委派 (RBCD)、Windows Defender 应用程序控制 (WDAC)、应用程序白名单 (AWL)、约束语言模式 (CLM)、虚拟化等。
# 课程内容
- 活动目录枚举
- 滥用内置功能执行代码
- 本地权限提升
- 凭证重放
- 使用管理工具危害其他机器
- 绕过应用程序白名单和防病毒等对策。
- 通过 Windows 计算机绕过防火墙规则。
- 使用 Kerberoast、Kerberos 委派、滥用受保护组、滥用企业应用程序等进行域权限升级。
- 使用金票和银票、万能密钥、DSRM 滥用、AdminSDHolder、DCSync、ACL 滥用、主机安全描述符等实现域持久性和支配性。
- 使用交叉信任攻击进行森林权限升级。
- 林间信任攻击
- 滥用 SQL Server 信任
- 使用内置 Windows 工具进行横向移动和寻找商业机密。
# 模块一:Active Directory、枚举和本地权限升级
- Active Directory、攻击方法和攻击手段简介
- 域枚举(攻击和防御)
- 枚举在攻击中有用的信息,并在端点上留下最小的足迹
- 了解并练习在准备攻击路径以避免检测时要查找的属性和信息
- 枚举林内和林间的信任关系以映射跨信任攻击路径
- 学习并练习通过滥用 OU 委派、受限组、LAPS、嵌套组成员资格以及使用远程访问协议寻找权限来升级到域中的本地管理员权限
- 凭证重放攻击
# 模块二:横向移动、域权限升级和持久性
- 滥用本地 MS Exchange 进行权限升级并从邮箱中提取电子邮件和敏感信息
- 逃避应用程序白名单 (WDAC)
- 通过滥用无约束委派来提升域权限:了解无约束委派如何有助于危害 AD 中的多个高权限服务器和用户
- 通过冒充高权限帐户滥用约束委派来实现域权限升级
- 利用 ACL 权限滥用基于资源的约束委派
- 域持久化技术
# 模块三:域持久性、支配性和升级到企业管理员
- 高级跨域攻击。学习并练习通过滥用 MS 产品和委派问题实现从域管理员升级到企业管理员的攻击
- 通过攻击混合身份基础架构从本地横向移动到 Azure AD
- 高级跨森林攻击。跨森林信任森林执行攻击,例如滥用 Kerberoast、SID 过滤错误配置等,并了解此类攻击的细微差别
# 模块四:防御、监控和绕过防御
- 滥用 SQL Server 进行跨林攻击
- 有关高级跨林攻击的更多信息,例如滥用外国安全主体、ACL 等。
- 滥用 PAM 信任和影子安全主体对托管林执行攻击
- 检测和防御(Red Forest、JEA、PAW、LAPS、选择性身份验证、欺骗、应用程序白名单、ATA、分层管理)
- 绕过高级威胁分析、受保护用户组、WDAC 等防御措施。
