把自己活成一道光，因为你不知道，谁会借着你的光，走出了黑暗。请保持心中的善良，因为你不知道，谁会借着你的善良，走出了绝望。请保持你心中的信仰，因为你不知道，谁会借着你的信仰，走出了迷茫。请相信自己的力量，因为你不知道，谁会因为相信你，开始相信了自己....

委派是大型网络中经常部署的应用模式，给多跳认证带来了很大的便利与此同时也带来了很大的安全隐患。利用委派，攻击者可结合其他漏洞进行组合攻击，导致攻击者可获取本地管理员权限甚至域管理员权限，还可以制作深度隐藏的后门。委派是指将域内用户的权限委派给服务账户，使得服务账户能以用户权限访问域内的其他服务。委派的流程图如图所示，域内用户A以Kerberos身份验证访问Web服务器请求下载文件，但是真正的文件在后台的文件服务器上。

2021年4月份，在Pwn2Oun 黑客大赛上，来自中国台湾地区的安全研究员Orange Tsai 利用 Exchange 最新漏洞 ProxyShell 攻击链成功攻破了微软旗下的Exchange邮箱服务器，并因此夺得20万美元大奖。但是当时Orange Tsai 并未公布 ProxyShell 攻击链漏洞利用详情。同时，微软发布了针对ProxyShell 攻击利用链的安全补丁更新。

2021年3月2日，微软发布了Exchange服务器的紧急安全更新，修复了如下7个相关的漏洞。本节介绍Exchange任意文件写入漏洞与Exchange服务端请求伪造漏洞结合进行组合攻击。该组合攻击链被称为Exchange ProxyLogon 攻击利用链。

2021年6月17日，国外安全研究员 Will Schroeder 和 Lee Christensen 共同发布了针对ADCS(Active Directory Certificate Service, 活动目录证书服务)的攻击手法。同年8月5日，在Black Hat 2021上 Will Schroeder 和 Lee CHristensen 对该攻击手法进行了详细讲解。至此，ADCS攻击第一次进入人们的视野。

然后会有一个Kerberos身份验证的副本，右键更改名称，更改为LDAPS。然后一直下一步，到了下面选择之前创建的LDAPS。设置模板属性，请求处理——>允许导出私钥(O)选择Kerberos身份验证，右键 复制模板。至此，已经完成了LDAPS的配置了。打开AD CS，选择证书颁发机构。配置为计算机账户，点击下一步。选择“本地计算机”，点击完成。然后打开控制台，输入MMC。选择LDAPS，右键属性。选择证书模板，右键管理。点击添加或删除管理单元。选择“证书”，点击添加。选择LDAPS，确定。

15、在“角色服务”中，单击“证书颁发机构”和“证书颁发机构Web注册”，然后单击“下一步”。9、在“角色服务”中，单击“证书颁发机构”和“证书颁发Web注册”，然后单击“下一步”。4、在“选择安装类型”中，确保选中“基于角色或基于功能的安装”，然后单击“下一步”。17、在“指定 CA 类型”页上，验证是否选择了“根 CA”，然后单击“下一步”。18、在“指定私钥类型”页上，验证是否选择了“创建新的私钥”，然后单击“下一步”。16、在“安装类型”页上，验证是否选择了“企业 CA”，然后单击“下一步”。

2019年6月11日，微软发布6月份安全补丁更新。在该安全补丁更新中，对 CVE-2019-1040 漏洞进行了修复。该漏洞存在于Windwos 大部分版本中，当中间人攻击者能够成功绕过NTLM 消息完整性校验（MIC）时，Windows 存在可能可篡改的漏洞。成功利用此漏洞的攻击者可以获得降级 NTLM 安全功能的能力。要利用此漏洞，攻击者需要篡改NTLM 交换，然后修改NTLM 数据包的标志，而不会使签名无效。结合其他漏洞和机制，在某些场景下，攻击者可以在仅有一个普通账户域账户的情况下接管全域。

我们单击这个补丁程序安装KB2919442补丁：然后我们需要按官方说法（这些 KB 必须按以下顺序安装：clearcompressionflag.exe、KB2919355、KB2932046、KB2959977、KB2937592、KB2938439、KB2934018）的顺序安装补丁然后重启服务器，完成补丁的安装​​​​​​​。

我们在之前搭建完成Windows Server 2012 R2 域控的基础上搭建一个额外的域控。多个域控的好处在于，当其中有域控出现了故障，仍然能够由其他域控来提供服务。最后需要将该服务器提升为域控，大体步骤和搭建Windows Server 2012 R2 域功能级别一样，接下来只讲细节差异部分。首先在DC2上配置IP地址为192.168.41.40，并将DNS服务器设置为主域控的IP即192.168.41.10。安装完成之后，按之前的步骤操作就可以看到如图所示的界面，说明额外域控安装成功。

这个漏洞的产生核心的原因是KDC在处理UserName字段时的问题，而后结合两种攻击链针对域内和跨域进行攻击。当针对域内攻击时，结合了CVE-2021-42278漏洞来修改机器⽤户的saMAccountName属性，让KDC找不到⽤户，⾛进处理UserName的逻辑。然后再利⽤KDC在处理S4U2Self时的逻辑问题(不校验发起S4U2Self请求的⽤户是否具有权限发起S4U2Self请求)以及重新⽣成PAC的这⼀特性来进⾏攻击。当针对跨域攻击时，其实意义不⼤。

再来看看GenericAll 权限 应用于组如何进行权限维持。由于用户hack是普通的域用户，因此他没有往Domain Admins 组添加用户的权限，如图所示，以用户hack 身份往Domain Admins 组中添加用户，可以看到，添加用户失败。添加完成后，执行如下的命令查询对Domain Admins 组具有GenericAll 权限的对象，如图所示，可以看到用户jack已经对Domain Admins组拥有GenericAll 权限了。

如图所示是微软对于msDS-AllowedToActOnBehalfOfOtherldentity 属性的描述jack是域中的一个普通用户。

本文将介绍如何滥用ACL进行域权限维持，首先我们来看看哪些权限比较重要，并且有利用价值。（1）属性权限（2）扩展权限（3）基本权限。

2018年1月24日，在BlueHat安全会议上，安全研究员Benjamin Delpy 和 Vincent Le Toux 公布了针对微软活动目录域的一种新型攻击技术------DCShaow。利用该攻击技术，具有域管理员权限或企业管理员权限的恶意攻击者可以创建恶意域控，然后利用域控间正常同步数据的功能将恶意域控上的恶意对象同步到正在运行的正常域控上。由于执行该攻击操作需要域管理员权限或企业管理员权限，因此该攻击技术通常用于域权限维持。

由于我们可以编写自己的SSP，然后注册到操作系统中，让操作系统支持我们自定义的身份验证方法，因此如果攻击者获得了机器的最高权限，就可以编写一个恶意的SSP，然后将其注册到操作系统中。当用户登陆时，恶意的SSP就可以捕捉到用户输入的明文密码，也不会影响用户的正常登录。由于注入SSP需要服务器的最高权限，因此通常需要获得域管理员权限才能在域控上执行SSP注入。因此，该方法常被用作后渗透密码收集。

2013年九月，安全研究员Mubix发布了一个恶意的Windows密码过滤DLL。通过安装这个密码过滤DLL，可以在用户更改密码时拦截用户输入的明文密码并保存到本地，同时不会影响该用户更改密码的正常操作流程。但是，安装此密码过滤DLL需要重新启动计算机才能生效，并且它将显示为一个自动运行和一个加载的DLL在lsass.exe进程中，有可能会被安全人员发现。

2022年1月10日，国外安全研究员Kaido发文称发现了一种新的伪造域控方式，安全研究员只需要新建一个机器账户，然后修改机器账户的UserAccountControl属性为8192。活动目录就会认为这个机器账户就是域控，然后就可以使用这个新建的机器账户进行DCSync操作了。由于修改机器账户的UserAccountControl属性需要域内高权限，因此这种方式可以用来进行域权限维持。这种权限维持方式与DCShadow类似，都是在域内伪造域控。

活动目录域服务使用AdminSDHolder、Protected Groups 和 Security Descriptor Propagator 来保护特权用户和特权组被恶意的修改或滥用。这个功能是在Windows 2000 服务器活动目录的第一个版本中引入的，目的是保护特定对象不会被恶意修改，但也给攻击者进行域权限维持留了一个好的隐蔽方案。

目录服务还原模式(DSRM)是Windows域环境中域控的安全模式启动选项。每个域控都有一个本地管理员administrator账户，也就是（DSRM账户）。DSRM的用途是允许管理员在域环境出现故障或崩溃时还原、修复、重建活动目录数据库，使域环境的运行恢复正常。也就是说，DSRM账户其实就是与域控上的本地administrator账户。默认情况下，DSRM账户是无法用于RDP或者远程连接域控的，这与DSRM账户的登陆方式有关。之前在提到了在安装活动目录中需要输入DSRM的密码，如图所示。

SID是用于标识主体的可变长度的唯一值，每个账户都有一个系统颁发的唯一SID，其存储在数据库（域中的话就存储在活动目录数据库中）。用户每次登录时，系统都会从数据库中检索该用户的SID，并将其放在该用户的访问令牌中。系统使用访问令牌中的SID来识别与Windows安全所有后续交互中的用户。当SID被用作用户或组的唯一标识符时，他再也不能用于标识另一个用户或组。在活动目录数据库中对象的objectSid属性值就是SID。

戴尔的安全研究人员在一次威胁涉猎中发现了一种可以在活动目录上绕过的单因素身份验证的方法，该方法使得攻击者在获得域管理员权限或企业管理员权限的情况下，可以在目标域控的LSASS内存中注入特定的密码，然后就可以使用设置的密码来以任何用户身份登录，包括域管理员和企业管理员，而用户还可以使用之前正常的密码进行登录，这种攻击方式被称为Skeleton Key（万能密码）。由于设置Skeleton Key需要域管理员的权限或企业管理员权限，因此这种攻击方式通常用于域权限维持。

关于委派的概念以及委派的一些攻击手法，在之前的文章之中已经给大家讲过一些了，本编文章主要讲解利用委派来进行域权限维持。假设被委派的服务B为krbtgt，而服务A是我们控制的一个服务账户或机器账户。配置服务A到服务B的约束性委派和基于资源的约束性委派，那么我们控制的账户就可以获取KDC服务的ST了（也就是TGT）。获得KDC的ST后，就可以伪造任何权限用户的TGT，以此来打造一个变种的黄金票据了。

Kerberos Bronze Bit （CVE-2020-17049）漏洞是国外安全公司Netspi 安全研究员 Jake Karnes 发现的一个Kerberos安全功能绕过漏洞。该漏洞存在的原因在于KDC在确定Kerberos服务票据是否可用于通过Kerberos的约束性委派时，其方式中存在一个安全功能绕过漏洞。利用此漏洞，一个被配置为使用约束性委派的遭入侵服务可以篡改一个对委派无效的服务票据，从而迫使KDC接受它。该漏洞启用的攻击是Kerberos委派引起的其它已知攻击的扩展。

2021年6月9日，微软发布6月份安全补丁更新，修复了50个安全漏洞，其中包括Windows Print Spooler 权限提升漏洞。普通用户可以利用此漏洞以管理员身份在运行打印后台处理程序服务的系统上执行任意代码。如果在域环境中合适的条件下，无需任何用户交互，未经身份验证的远程攻击者就可以利用该漏洞以System权限在域控上执行任意代码，从而获得整个域的控制权。因此，其实在6月份的安全补丁更新中，微软就已经修复了该漏洞，但是该漏洞的exp并没有在网络上公开。

在2020年8月份微软发布的安全公告中，有一个十分紧急的漏洞——CVE-2020-1472 NetLogon 权限提升漏洞。通过该漏洞，未经身份验证的攻击者只需要能访问域控的135端口即可通过 NetLogon 远程协议连接域控并重置域控机器的Hash，从而导致攻击者可以利用域控的机器账户导出域内所有用户的Hash（域控的机器账户默认具有DCSync权限），进而接管整个域。该漏洞存在的原因是Netlogon协议认证的加密模块存在缺陷，导致攻击者可以在没有凭据的情况下通过认证。

在域中，不同的域控之间，默认每隔15min就会进行一次域数据同步。当一个额外的域控想从其他域控同步数据时，额外域控会像其他域控发起请求，请求同步数据。如果需要同步的数据比较多，则会重复上述过程。DCSync就是利用这个原理，通过目录复制服务（Directory Replication Service，DRS）的GetNCChanges接口像域控发起数据同步请求，以获得指定域控上的活动目录数据。目录复制服务也是一种用于在活动目录中复制和管理数据的RPC协议。该协议由两个RPC接口组成。

NTLM Realy 攻击其实应该称为Net-NTLM Realy 攻击，它发生在NTLM认证的第三步，在Response 消息中存在Net-NTLM Hash,当攻击者获得了 Net-NTLM Hash 后，可以重放Net-NTLM Hash 进行中间人攻击。NTLM Realy 流程如图所示，攻击者作为中间人在客户端和服务器之间转发NTLM认证数据包，从而模拟客户端身份访问服务端的资源。NTLM Relay 攻击分为两步：第一步是捕获 Net-NTLM Hash;

Kerberosating攻击发生在Kerberos协议的TGS_REP阶段，KDC的TGS服务返回一个由服务Hash 加密的ST给客户端。由于该ST是用服务Hash进行加密的，因此客户端在拿到该ST后可以用于本地离线爆破。如果攻击者的密码字典足够强大，则很有可能爆破出SPN链接用户的明文密码。如果该服务在域内被配置为高权限运行，那么攻击者可能接管整个域。整个过程的核心点在于，攻击者和KDC协商ST加密的时候，协商的是使用RC4_HMAC_MD5加密算法。

AS-REP Roasting是一种针对用户账户进行离线爆破的攻击方式。但是该攻击方式使用上比较受限，因为其需要用户账户设置“不要求Kerberos预身份验证”选项。而该选项默认是没有勾选的。Kerberos域身份验证发生在Kerberos身份验证的第一阶段（AS_REQ&AS_REP）,它的主要作用就是防止密码离线爆破。默认情况下，预身份验证是开启的，KDC会记录密码错误的次数，防止在线爆破。

组策略拥有强大的功能，在使用过程中，如果使用不当或被攻击者恶意滥用，就会存在严重的安全问题。

用户（A）访问WEB系统（B）,B代表A去向KDC申请访问B的TGT和ST1(使用S4u2self),用户A拿到了ST1就可以访问B了，如果在B上配置了约束性委派（A到C的约束委派），则B能够使用S4U2Proxy协议将用户发给自己的可转发的ST1票据以用户的身份发给KDC,KDC返回B一个访问C的票据ST2，这样B就可以以用户的身份访问C

1、使用 adfind发现服务账号test123设置了非约束委派。3、利用刚才伪造的TGT票据，向域服务器申请CIFS服务票据。使用mimikatz将该票据注入当前的会话中。2、构造服务账户TGT的票据。

从使用的角度：用户张三访问一台机器A，于是向DC发起认证，DC会检查A的机器账号的属性，如果是非约束委派的话，会把用户的TGT放在ST票据中并一起发送给A,这样A在验证ST票据的同时也获取到了用户的TGT，并把TGT储存在自己的lsass进程中以备下次重用，从而A就可以使用这个TGT，来模拟这个张三访问任何服务。3、这个时候如果域管访问了WIN-10机器,我们的内存中就会有域管的TGT，就可以访问任意机器了，在域控上执行访问WIN-10(模仿域管访问了配置了非约束性委派的主机)获取域内用户的hash。

我们先看一下kerberos协议我们要去买票，但是自己又不想去，我们就可以委托中间商，给我们买票，这个就是委派但如果这个中间商出了问题，拿着你的身份证随意买票进入动物园，那不就出问题了吗？

当前已经控制abc.hack.com域，其中包括 DC2机器和PC-2008-2机器。DC2获取Krbtgt散列。

上传asktgs.exe和kirbikator.exe工具，asktgs.exe伪造票据，kirbikator.exe注入票据。使用mimikatz获取 当前域的 SID 父域的 SID 子域域管的NTLM 信任密钥。当前已经控制abc.hack.com域，其中包括 DC2机器和PC-2008-2机器。创建计划任务，如果拒绝访问，请注入host服务票据。创建CIFS服务的票据进行复制文件的操作。在普通的域内用户中创建创建高权限票据。伪造host服务，进行创建计划任务。这个是我们的恶意文件。

在域中，Enterprise Admins组（出现在林中的根域中）的成员具有对目录林中所有域的完全控制权限。在默认情况下，该组包含林中所有域控制器上具Administrators权限的成员。如果是复制的虚拟机请运行 C:\Windows\System32\sysprep\sysprep.exe 重新获取SID。1、修改计算机名和修改IP地址，DNS指向父域。1、修改计算机名和修改IP地址，DNS指向根域。5、提供父域的账号密码。2、安装 AD域服务。2、安装 AD域服务。获取当前域中的用户组。

很多大型企业都拥有自己的内网，一般通过域林进行共享资源。根据不同职能区分的部门，从逻辑上以主域和子域进行区分，以方便统一管理。在物理层，通常使用防火墙将各个子公司及各个部门划分为不同的区域。

离线读取使用msf读取ntds文件，前提是msf必须和域控相同，我们可以使用代理技术，将msf代理到内网，然后使用msf导出ntds文件。.dit结尾的就是 ntds.dit文件，.bin结尾的就是system.hive文件。5、使用相应的工具离线读取该文件即可，这一步可以看之前的文章。1、使用cs或者其他的方式先上线的msf中使用派生会话的方式。2、填写相关的选项，主要有 IP,域，用户名和密码。3、或者使用下面的脚本，也可以读取域内的hash。4、在相应的目录下找到该文件。1、使用导出模块进行导出。

2、将ntds.dit文件放入libesedb-20210424文件夹内，导出 ntds.dit，两个重要的表为：datatable以及link_table，他们都会被存放在./ntds.dit.export/文件夹中。注意：因为 system.hive 里存放着 ntds.dit 的秘钥，所以需要转储 system.hive ，不然没法查看ntds.dit 里内容。将 ntds.dit.export 和 SYSTEM 文件还有ntds.dit放入到 和secretsdump.exe 同级目录下。