文章总结： 文档介绍开源AD安全审计工具ADPulse，该工具通过LDAP连接执行35项自动检查，涵盖密码策略、特权账户、Kerberos攻击面、ADCS漏洞及权限配置等核心领域，生成多种格式报告。文章详细列举检测项目如ESC漏洞、影子凭证及遗留协议风险，适合安全团队快速评估AD配置。文末包含红队技术圈子推广信息。 综合评分： 70 文章分类： 内网渗透,安全工具,渗透测试

内网渗透工具–ADPulse

原创

Hello888 Hello888

安全天书

2026年3月9日 19:51 广西

0x01 工具介绍

ADPulse 是一款开源的 Active Directory 安全审计工具，通过 LDAP（S） 连接域控制器，运行 35 次自动安全检查，并生成控制台、JSON 和 HTML 格式的详细报告。

它面向需要快速、只读评估 AD 配置错误和攻击面的 IT 管理员、渗透测试人员和安全团队。

| # | 检查 | 描述 | | — | — | — | | 1 | 密码策略 | 最小长度、历史、复杂度、锁定阈值、可逆加密、细粒度PSO。 | | 2 | 特权账户 | 域管理员、企业管理员、模式管理员及其他敏感组的成员资格;成员过期、密码过期、描述中密码、内置管理员状态、krbtgt 年代 | | 3 | 刻柏罗斯 | Kerberoastable 账户（用户对象上的 SPN）、AS-REP roatable 账户、仅支持 DES 加密、高价值目标组合 adminCount=1 + SPN + PasswordNeverExpires | | 4 | 无限制授权 | 非DC计算机和用户账户可信赖，用于无限制的Kerberos委托 | | 5 | 受限代表团 | 具有协议转换（S4U2Self）和标准约束委托目标的账户 | | 6 | ADCS / PKI | ESC1、ESC2、ESC3、ESC6、ESC8、ESC9、ESC10、ESC11、ESC13、ESC15、弱密钥大小、注册者ACL枚举 | | 7 | 域信托 | 无SID过滤的双向信任、森林信任、外部信任 | | 8 | 账户卫生 | 用户/电脑过时、未登录账户、PASSWD_NOTREQD标志、每个账户可逆加密、旧密码、重复的SPN | | 9 | 协议安全 | LDAP 签名/信道绑定、DC作系统版本、域/森林功能层级、NTLMv1/WDigest 指南 | | 10 | 组策略对象 | 失效、孤儿、无关联且空的GPO;过多的GPO计数 | | 11 | 圈数 | 遗留LAPS和Windows的LAPS模式检测;无LAPS密码的计算机 | | 12 | LAPS覆盖 | 基于百分比覆盖所有非DC计算机的LAPS管理密码 | | 13 | DNS与基础设施 | 通配符DNS记录，LLMNR/NetBIOS-NS中毒指南 | | 14 | 域控制器 | 单一 DC 检测、DC 上的遗留作系统、FSMO 角色、RODC 密码复制策略 | | 15 | ACL / 权限 | ESC4、ESC5、ESC7、DCSync 对非特权主体的权限、受保护用户组、委派 ACL | | 16 | 可选功能 | AD 回收站，特权访问管理（PAM） | | 17 | 复制健康 | 站点计数、站点链路复制间隔、nTDSDSA对象 | | 18 | 服务账户 | gMSA采用、常规用户服务账户、adminCount=1的服务账户 | | 19 | 杂项硬化 | 机器账户配额、墓碑寿命、模式管理员/企业管理员成员资格、访客账户、审计策略指导 | | 20 | 已弃用作系统 | 启用的计算机账户报告Windows版本已终止 | | 21 | 遗留协议 | SMBv1检测、SMB签名强制执行、空会话接受（实时网络探测） | | 22 | 交换 | Exchange Windows 权限组（PrivExchange / CVE-2019-0686），Exchange 可信子系统 | | 23 | 受保护管理员用户 | adminCount=1 库存 — 孤儿、幽灵（禁用）和过期账户 | | 24 | 描述中的密码 | 基于关键词检测用户、管理员和计算机描述字段中存储的凭证 | | 25 | GPP / cpassword（MS14-025） | 对包含属性的 XML 文件进行 SYSVOL 的 SYSVOL 进行解密，并使用 Microsoft 公开的 AES 密钥进行解密cpassword | | 26 | AdminSDHolder ACL | 读取二进制DACL，并标记非特权主体的写权限——这些ACEs通过SDProp每60分钟自动传播到所有受保护账户CN=AdminSDHolder | | 27 | SID历史 | 检测账户中已有人员;如果任何注入的SID映射到特权组（域管理员、企业管理员等），则升级为关键。sIDHistory | | 28 | 影子资历 | 标记用户和计算机对象上的意外条目，使无需知道账户密码即可实现基于证书的认证msDS-KeyCredentialLink | | 29 | RC4 / 遗留的Kerberos加密 | 对服务账户、数据中心和管理员账户进行检查，以识别仍允许RC4-HMAC的账户——弱enctype攻击者专门要求离线破解msDS-SupportedEncryptionTypes | | 30 | 特权群体中的外国安全主体 | 枚举并标记来自受信任域且属于敏感本地组（域管理员、备份等）的FSP。CN=ForeignSecurityPrincipals | | 31 | Windows 2000 前兼容访问 | 检查是否或是否属于该组，从而允许网络任意位置进行未认证的SAMR/LSARPC枚举Everyone``Anonymous Logon | | 32 | 危险的受限委托目标 | 交叉引用委派目标与域控制器主机名，并标记域控制器上委派给高价值服务类别（， ， ， ） 的账户ldap/``cifs/``host/``gc/``krbtgt/ | | 33 | 孤儿AD子网 | 发现无分配的子网，导致客户端接收随机的 DC，并可能通过 WAN 链路路由认证流量siteObject | | 34 | 遗留FRS SYSVOL复制 | 检测 SYSVOL 是否仍通过已废弃的文件复制服务而非 DFSR 进行复制，并标记迁移中途停滞状态 | | 35 | 域对象/数据中心上的RBCD | 对域NC头和所有DC计算机对象进行检查——任一配置通过S4U2代理赋予允许的主体有效的域管理员权限msDS-AllowedToActOnBehalfOfOtherIdentity |

GitHub地址：

https://github.com/dievus/ADPulse

注意：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。工具来自网络，安全性自测。

0x02 红蓝偶像练习生小圈子

更多工具思路文章请加入纷传，圈子主要研究方向渗透测试、红蓝对抗、钓鱼手法思路、武器化，红队工具二开与免杀。圈内不定期分享红队技术文章，攻防经验总结以及自研工具与插件，目前圈子已满300人，欢迎各位进圈子交流学习！****

**圈子目前更新相关技术文章：

* HeavenlyBypassAV内部版工具-轻松免杀各大杀软

• Heavenly白加黑自动化生成免杀工具

• HeavenlyProtectionCS内部CS插件

• 冰蝎webshell免杀工具

• 哥斯拉webshell免杀工具

• 红队场景下lnk钓鱼Bypass免杀AV

• Frp免杀隧道工具

• 1day和0dayPOC

• lnk钓鱼思路视频讲解

• lnk钓鱼Bypass天擎

• msi钓鱼

• chm钓鱼

• Kill360核晶

• AV对抗-致盲AV（核晶）

• 捆绑免杀360

• Kill火绒

• 火绒6.0内存免杀

• kill-windows Defender

• Defender分离免杀

• Defender知识点

• EDR对抗思路

• 进程注入知识点

• 自启动思路

• 多种维权手法

• Fscan免杀核晶

• QVM解决思路

• 红队思路-钓鱼环境下小窗口截屏窃取

• 免杀Todesk/向日葵读取工具

• 渗透测试文章思路

• 内网对抗文章思路

• 还有更多红队工具文章！期待您的加入！！！**

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全天书 Hello888 Hello888《内网渗透工具–ADPulse》