一、項目概述

ADRecon 是一款面向Active Directory環境設計的開源審計工具，通過高效提取和整合AD基礎設施中的各類數據，生成多維度的環境態勢報告。該工具適用于安全審計人員、事件響應團隊（DFIR）、滲透測試人員以及系統管理員等不同角色，為其提供快速獲取AD環境全景視圖的解決方案。

本工具支持從任意接入AD網絡的Windows主機執行掃描操作，且無需域成員身份即可運行。創新性的低權限運行機制允許使用普通域用戶賬戶執行核心功能模塊，針對需要特權訪問的特定功能（如細粒度密碼策略解析、LAPS及BitLocker恢復密鑰提取），則支持通過權限升級實現完整功能覆蓋。

通過集成Microsoft Remote Server Administration Tools（RSAT）與LDAP協議的雙模通信架構，ADRecon能夠從域控制器獲取包括用戶體系、群組架構、設備信息、策略配置及權限結構在內的全要素數據，最終輸出結構化的Microsoft Excel分析報告。報告內置的摘要視圖與關鍵指標儀表盤，顯著提升安全分析效率與決策支持質量。

二、核心功能

ADRecon構建了覆蓋Active Directory全要素的檢測矩陣，主要功能模塊包括：

(1) 基礎架構分析：

• 森林拓撲、域結構、信任關系圖譜、站點配置、子網劃分
• 架構版本演進歷史追蹤

(2) 密碼安全審計：

• 全局密碼策略與細粒度密碼策略（FGPP）比對分析
• 密碼屬性深度檢測（實驗性模塊）

(3) 域控制器檢測：

• 域控制器清單、SMB協議版本及簽名支持狀態
• FSMO角色分布拓撲

(4) 身份體系掃描：

• 用戶屬性全量采集、服務主體名稱（SPNs）枚舉
• 群組結構解析、成員關系圖譜、組策略變更審計

(5) 策略配置審計：

• 組織單元（OU）架構解析、組策略對象（GPOs）全量提取
• GPO鏈接關系映射（依賴RSAT組件）

(6) 資產發現模塊：

• DNS區域記錄解析、網絡打印設備發現
• 計算機資產畫像構建、設備SPNs檢測
• LAPS密碼管理審計、BitLocker恢復密鑰提取

(7) 安全態勢評估：

• 全域對象訪問控制列表審計（ACLs，含DACLs/SACLs，需手動激活）
• Kerberoast攻擊面分析（需手動激活）
• 特權服務賬戶檢測（需域管理員權限，需手動激活）

模塊化設計支持按需啟用檢測功能，默認運行策略自動規避高權限需求及高風險操作（如ACLs解析、Kerberoast分析），確保安全性與執行效率的最佳平衡。

三、安裝與使用

1. 環境要求

操作系統：Windows平臺（暫不支持Linux/macOS的PowerShell Core環境）

運行依賴：

• .NET Framework 3.0+（Windows 7及以上版本原生集成）
• PowerShell 2.0+（建議升級至PowerShell 7.2.2版本）

可選組件：Microsoft Excel（xlsx報告生成，無Excel環境可通過CSV轉換）

2. 部署流程

通過以下途徑獲取最新版本：

Git倉庫克隆：

git clone https://github.com/adrecon/ADRecon.git

GitHub Releases頁面下載預編譯壓縮包。

3. 操作指南

ADRecon支持多場景靈活調用：

(1) 域內主機標準掃描：

.\ADRecon.ps1

(2) 指定身份憑證掃描：

.\ADRecon.ps1 -DomainController <IP/FQDN> -Credential <Domain\User>

(3) 非域成員LDAP模式掃描：

.\ADRecon.ps1 -Method LDAP -DomainController <IP/FQDN> -Credential <Domain\User>

(4) 定制化模塊掃描：

.\ADRecon.ps1 -Method ADWS -DomainController <IP/FQDN> -Credential <Domain\User> -Collect Domain,DomainControllers

(5) CSV數據報表生成：

.\ADRecon.ps1 -GenExcel C:\ADRecon-Report-<Timestamp>

執行完成后，工具自動生成時間戳命名的結果目錄，內含Excel綜合分析報告（ADRecon-Report.xlsx）及原始CSV數據集。

4. 高級參數

ADRecon提供精細化控制參數：

• -Method：通信協議選擇（ADWS/LDAP）
• -Collect：模塊白名單配置（支持Forest/Users等23個模塊）
• -OutputType：輸出格式控制（CSV/XML/JSON/HTML/Excel）
• -DormantTimeSpan：休眠賬戶檢測周期（默認90天）
• -Threads：并發處理線程配置（默認10線程）

四、截圖

五、總結

ADRecon作為Active Directory安全分析領域的專業工具，憑借其全景式數據采集能力、智能化的報告生成機制以及創新的低權限運行模式，在網絡安全防御體系中占據重要地位。該工具不僅適用于企業級AD環境的安全審計，更能為紅隊攻防演練提供關鍵情報支持。通過持續迭代的模塊化設計和活躍的社區生態，ADRecon正在成為Active Directory安全分析領域的事實標準。

六、地址

https://github.com/adrecon/ADRecon