BloodyAD项目新增AD对象恢复功能解析

在Active Directory(AD)域环境中，对象删除是一个常见但容易被忽视的安全场景。近期流行的渗透测试靶机"TombWatcher"就涉及到了AD中被删除对象恢复这一关键技术点。作为AD安全审计工具，BloodyAD项目在最新更新中加入了这一重要功能。

技术背景

AD中的对象删除并非真正意义上的物理删除，而是采用了逻辑删除机制。被删除的对象会被移动到"CN=Deleted Objects"容器中，并标记isDeleted=TRUE属性。这些对象默认不会出现在常规查询结果中，但可以通过LDAP的扩展控制功能(Control OID 1.2.840.113556.1.4.417)进行检索。

传统上，渗透测试人员需要使用ldapsearch等工具配合特殊参数才能查询这些被删除对象：

ldapsearch -H ldap://dc01.corp1.com -D USER -w PASS -b "CN=Deleted Objects,DC=corp1,DC=com" "(isDeleted=TRUE)" -E '1.2.840.113556.1.4.417' dn

BloodyAD的功能实现

BloodyAD通过新增set restore命令简化了这一过程。该功能的实现基于两个关键技术点：

1. LDAP扩展控制使用：自动处理了底层LDAP协议中用于查询已删除对象的扩展控制标识符
2. 对象恢复机制：不仅能够列出被删除对象，还能将其完整恢复到原始状态

安全意义

这项功能对渗透测试和安全审计具有重要意义：

1. 取证调查：可以恢复被恶意删除的重要AD对象
2. 权限维持检测：攻击者常会删除后恢复对象来隐藏痕迹
3. 误操作恢复：帮助管理员恢复意外删除的账户或组策略

使用建议

在实际渗透测试中，建议：

1. 定期检查Deleted Objects容器，特别是域控服务器
2. 关注恢复对象的属性变化，可能包含攻击者添加的恶意配置
3. 结合日志分析，判断对象删除/恢复的时间线

BloodyAD的这项更新使其在AD安全审计工具链中的地位更加重要，为红队和蓝队都提供了更强大的AD环境分析能力。