ADRecon 项目使用教程

1. 项目介绍

ADRecon 是一个用于收集和分析 Active Directory 信息的工具。它能够从 Active Directory 环境中提取和组合各种信息，并生成一个详细的报告，帮助安全专业人员、审计员、管理员等了解当前 AD 环境的状态。ADRecon 支持从任何连接到 AD 环境的工作站上运行，甚至可以从非域成员的主机上运行。此外，它还可以在非特权（即标准域用户）账户的上下文中执行。

2. 项目快速启动

2.1 环境准备

在开始使用 ADRecon 之前，请确保您的系统满足以下要求：

• .NET Framework 3.0 或更高版本
• PowerShell 2.0 或更高版本
• 可选：Microsoft Excel（用于生成报告）
• 可选：远程服务器管理工具（RSAT）

2.2 安装 ADRecon

您可以通过以下两种方式安装 ADRecon：

2.2.1 使用 Git 克隆仓库

git clone https://github.com/sense-of-security/ADRecon.git

2.2.2 下载 ZIP 文件

您也可以直接从 GitHub 页面下载最新的 ZIP 文件并解压。

2.3 运行 ADRecon

以下是一些常见的运行示例：

2.3.1 在域成员主机上运行

PS C:\> .\ADRecon.ps1

2.3.2 在域成员主机上以不同用户身份运行

PS C:\> .\ADRecon.ps1 -DomainController <IP or FQDN> -Credential <domain\username>

2.3.3 在非成员主机上使用 LDAP 运行

PS C:\> .\ADRecon.ps1 -Protocol LDAP -DomainController <IP or FQDN> -Credential <domain\username>

2.3.4 在非成员主机上使用 RSAT 运行特定模块

PS C:\> .\ADRecon.ps1 -Protocol ADWS -DomainController <IP or FQDN> -Credential <domain\username> -Collect Domain,DomainControllers

2.4 生成报告

运行 ADRecon 后，会生成一个包含 CSV 文件的输出文件夹。您可以使用以下命令生成 Excel 报告：

PS C:\> .\ADRecon.ps1 -GenExcel C:\ADRecon-Report-<timestamp>

3. 应用案例和最佳实践

3.1 安全审计

ADRecon 可以帮助安全审计员收集和分析 Active Directory 中的各种信息，包括用户、组、OU、GPO 等。通过生成的报告，审计员可以快速识别潜在的安全风险和配置问题。

3.2 事件响应

在事件响应过程中，ADRecon 可以用于快速收集受影响系统的信息，帮助分析人员了解攻击者的活动范围和影响。

3.3 渗透测试

ADRecon 可以作为渗透测试工具的一部分，帮助渗透测试人员收集目标 AD 环境的信息，为后续的攻击提供数据支持。

4. 典型生态项目

4.1 BloodHound

BloodHound 是一个用于可视化和分析 Active Directory 环境的工具。它可以与 ADRecon 结合使用，通过导入 ADRecon 生成的数据，帮助用户更好地理解 AD 环境中的权限关系和潜在风险。

4.2 PingCastle

PingCastle 是一个用于评估 Active Directory 安全性的工具。它可以帮助用户识别 AD 环境中的常见配置问题和安全漏洞。ADRecon 可以与 PingCastle 结合使用，提供更全面的安全评估。

4.3 LAPS (Local Administrator Password Solution)

LAPS 是微软提供的一个解决方案，用于管理本地管理员密码。ADRecon 可以收集 LAPS 密码信息，帮助管理员了解 LAPS 的配置和使用情况。

通过结合这些工具，用户可以更全面地了解和管理 Active Directory 环境的安全性。