总有人间一两风，填我十万八千梦

本系列域渗透文章以实战应用为核心，采用通俗易懂的语言讲解关键知识点，并辅以大量高清实验截图，确保逻辑清晰、层次分明。

默认情况下未建立域信任关系时父域控制器可以直接访问子域控制器上的资源，如 dir \\192.168.10.3\c$。但是子域无法访问父域控制器上的资源如 dir \\192.168.10.2\c$会拒绝访问子域中的 A 账户无法在子域 B 中的机器上登录。父域中的账户可以在任何一个子域的非域控制器上进行登录。此时 corp.test.lab 中的用户可以登录到 sales.test.lab 的机器上，相反也可以子域域控制器都无法访问其他子域控制器和父域控制器。

KeKerberos 是一种 网络身份认证协议，最早由 MIT 开发，主要用于在不安全的网络环境中提供安全的身份验证。

黄金票据（Golden Ticket）是攻击者伪造的 TGT。因为 TGT 是由 krbtgt 账号的 NTLM hash 加密生成的，所以当我们拥有了 krbtgt 账号的 hash 时，可以直接在本地伪造 TGT 绕过 Kerberos 认证流程中的身份验证步骤，直接申请服务票据并访问域内资源。

信任账户（Trust Account） 是 AD 在建立域信任时自动创建的特殊账户，这个账户的 NTLM 哈希值为信任密钥， 这个密钥用于加密和解密跨域 TGT。信任账户的命名规则是使用信任域的域名加上 $ 作为后缀，表示它是一个系统账户，不用于普通登录。

攻击者利用该漏洞可绕过相关权限验证，进而配合其他漏洞可执行任意代码，控制Microsoft Exchange Server。环境：Exchange2016 15.1.2106。

CVE-2021-26855 与 CVE-2021-27065 是微软在2021年3月2日发布的高危漏洞公告。这套组合拳被称为ProxyLogon，可直接获取目标邮件服务器主机权限。

域用户的口令策略保存在域内的默认组策略(Default Domain Policy)中，guid为{31B2F340-016D-11D2-945F-00C04FB984F9}。假设当前机器在域外，并且能够访问到域控制器(DC)的389端口，并且已经获得了域内一个普通用户的口令demo/demo.com。如果口令输入正确，那么badPwdCount会被清零。所以，根据查询信息显示，可知该域内用户口令策略为：密码长度最短为7，登录失败5次后将锁定30分钟。假设当前拿下的主机在域内，并且为普通域用户权限。

ntlmrelayx.py 将接收的身份验证请求中继到域控制器的 LDAP 服务（192.168.10.2），同时修改域控 2 机器账号的 msDS-AllowedToActOnBehalfOfOtherIdentity 属性为 test$ 的 sid 值。这样，test$ 就可以代表目标机器向 Kerberos 请求服务票据，从而获取域控 2 的权限。

在默认情况下，域内所有用户 都有权限读取 Active Directory 数据库中的 DNS 信息，包括所有记录。这是因为 DNS 记录被视为公共信息，用于解析域内服务和资源。

当文件通过 HTTP 服务器访问时，浏览器的同源策略会限制跨域或跨协议的请求 。当浏览器访问 http://127.0.0.1/1.html 使用的是 HTTP 协议。但 \\192.168.10.17\test 是一个 UNC 路径，使用 SMB 协议进行访问。浏览器在处理资源请求时，通常不允许在 HTTP 页面中直接加载 SMB 协议的资源，因为这是跨协议请求。

NTLM 协议运行在应用层，主要用于验证用户身份，它本身不负责资源共享、数据传输或服务提供。因此，NTLM 协议通常与其他应用层协议（如 SMB、RDP）一起使用。在这些协议中，NTLM 主要负责身份验证，而数据传输和资源共享等功能则由 SMB、RDP 等协议负责。

漏洞产生的主要原因就是在Exchange ECP组件中发现，邮件服务在安装的过程中不会随机生成秘钥，也就是说所有默认安装的Exchange服务器中的validationKey和decryptionKey的值都是相同的，攻击者可以利用静态秘钥对服务器发起攻击，在服务器中以SYSTEM权限远程执行代码。使用普通域用户hacker登录管理中心/ecp/，定位到/ecp/，在其响应头中获取ASP.NET_SessionId 的值。攻击者可以在 被攻击的exchange上执行任意代码,直接获取服务器权限。

Exchange提供了高效的邮件收发功能，支持多种客户端访问方式，如OWA（Outlook Web Access，基于Web的Outlook）、ECP（Exchange Control Panel，Exchange控制面板）以及Outlook客户端等。用户可以在这些平台上进行邮件的发送、接收、存储和管理。

安装完成后，访问 https://127.0.0.1/owa，输入新创建的 exchange 账号 exchange-admin 和密码进行登录。下载了iso文件后，双击iso文件进入里面，然后双击里面的.exe文件，选择将文件释放到指定的文件夹，然后进入到释放的文件夹，点击setup.exe 开始安装。Exchange需要安装在域环境中，可以安装在域控中或者域管理机员器中，但是不建议和域控安装在同一台机器上。安装完以上后重启系统，进行exchange的安装。然后进入先决条件检查，通过后，点击安装。

Hook PasswordChangeNotify 的作用是当用户修改密码后在系统中进行同步。攻击者可以利用该功能获取用户修改密码时输入的密码明文。

由于lsass.exe进程负责处理与安全相关的操作，如身份认证和密码存储，若我们定义一个恶意的DLL文件，在目标系统启动时自动加载到 lsass.exe进程中，那么攻击者就能够获取lsass.exe进程中的明文密码，即使用户更改密码并重新登录，攻击者依然可以获取该账号的新密码。SSP（Security Support Provider）是Windows操作系统安全机制的提供者，SSP通常以DLL（动态链接库）文件的形式存在，这些文件包含了实现安全功能的代码。能抓取本地用户或域用户密码。

CVE-2022-26923是一个影响微软Active Directory证书服务（AD CS）的权限提升漏洞。

ADCS（Active Directory Certificate Services），是微软提供的一套证书服务解决方案，用于实现公钥基础结构（PKI）的功能，包括证书的产生、管理、存储、分发和撤销等。ADCS能够与现有的Active Directory Domain Services（ADDS）服务结合，用于加密文件系统、数字签名以及身份验证等多种安全应用场景。在ADCS中，证书颁发机构（CA）扮演着核心角色，负责接收证书申请、验证申请者信息、颁发证书以及管理证书的吊销等。

首先，在传统的约束委派中，情况是这样的：有一个服务账户（比如一个Web服务器），它被配置为可以代表某个用户（比如一个域用户）去访问另一个服务（比如数据库）。这就像是你给了你的秘书（服务账户）一张你的身份证（用户的凭证），让她去帮你办点事（访问数据库）。

域控制器默认会开启端口389，用作LDAP服务。如果启用了LDAP over SSL（LDAPS），则使用的是636端口。 LDAPS 在 LDAP 上添加了安全层，使用SSL/TLS进行加密通信。

Kerberos本身是一种基于身份认证的协议，在 Kerberos 协议认证的 第一阶段AS-REQ ，当用户不存在时，返回包提示错误。当用户名存在，密码正确和密码错误时，AS-REP的返回包不一样。所以可以利用这点，对域内进行域用户枚举和密码喷洒攻击。

约束委派攻击主要利用了Windows域环境中的Kerberos协议及其扩展S4U（Service for User to Self和Service for User to Proxy）机制。约束委派是微软在Windows Server 2003中引入的一种安全机制，旨在限制服务账户在模拟用户时仅能访问特定的服务，而非所有服务。这一机制通过Kerberos协议的S4U2Self和S4U2Proxy两个子协议实现。

在Kerberos认证体系中，用户通过票据（如TGT和ST）来访问服务。TGT（Ticket-Granting Ticket）是用户向密钥分发中心（KDC）请求并获得的，用于后续请求服务票据（ST）。ST则是用户访问特定服务时所需的票据。

AS-REP Roasting攻击是一种针对域用户账号hash进行离线爆破的攻击方式，它利用了Kerberos协议中的特定漏洞。

Kerberoast 攻击是域内渗透中经常使用的一种技术，主要通过利用 Kerberos 协议的特定阶段和加密算法的弱点，尝试破解域内服务的密码。利用前提：获取了一个普通域用户凭据。SPN（Service Principal Name，服务主体名称）是服务的唯一标识符。每个需使用Kerberos来进行身份验证的服务都需要一个SPN。SPN的存在有助于确保在Kerberos身份验证中能够正确地识别和授权服务。