内心不种满鲜花就会长满杂草

CVE-2022-26923是一个影响微软Active Directory证书服务（AD CS）的权限提升漏洞。

ADCS（Active Directory Certificate Services），是微软提供的一套证书服务解决方案，用于实现公钥基础结构（PKI）的功能，包括证书的产生、管理、存储、分发和撤销等。ADCS能够与现有的Active Directory Domain Services（ADDS）服务结合，用于加密文件系统、数字签名以及身份验证等多种安全应用场景。在ADCS中，证书颁发机构（CA）扮演着核心角色，负责接收证书申请、验证申请者信息、颁发证书以及管理证书的吊销等。

首先，在传统的约束委派中，情况是这样的：有一个服务账户（比如一个Web服务器），它被配置为可以代表某个用户（比如一个域用户）去访问另一个服务（比如数据库）。这就像是你给了你的秘书（服务账户）一张你的身份证（用户的凭证），让她去帮你办点事（访问数据库）。

域控制器默认会开启端口389，用作LDAP服务。如果启用了LDAP over SSL（LDAPS），则使用的是636端口。 LDAPS 在 LDAP 上添加了安全层，使用SSL/TLS进行加密通信。

Kerberos本身是一种基于身份认证的协议，在 Kerberos 协议认证的 第一阶段AS-REQ ，当用户不存在时，返回包提示错误。当用户名存在，密码正确和密码错误时，AS-REP的返回包不一样。所以可以利用这点，对域内进行域用户枚举和密码喷洒攻击。

约束委派攻击主要利用了Windows域环境中的Kerberos协议及其扩展S4U（Service for User to Self和Service for User to Proxy）机制。约束委派是微软在Windows Server 2003中引入的一种安全机制，旨在限制服务账户在模拟用户时仅能访问特定的服务，而非所有服务。这一机制通过Kerberos协议的S4U2Self和S4U2Proxy两个子协议实现。

在Kerberos认证体系中，用户通过票据（如TGT和ST）来访问服务。TGT（Ticket-Granting Ticket）是用户向密钥分发中心（KDC）请求并获得的，用于后续请求服务票据（ST）。ST则是用户访问特定服务时所需的票据。

AS-REP Roasting攻击是一种针对域用户账号hash进行离线爆破的攻击方式，它利用了Kerberos协议中的特定漏洞。

Kerberoast 攻击是域内渗透中经常使用的一种技术，主要通过利用 Kerberos 协议的特定阶段和加密算法的弱点，尝试破解域内服务的密码。利用前提：获取了一个普通域用户凭据。SPN（Service Principal Name，服务主体名称）是服务的唯一标识符。每个需使用Kerberos来进行身份验证的服务都需要一个SPN。SPN的存在有助于确保在Kerberos身份验证中能够正确地识别和授权服务。