章节13：支配域与森林

DCSync 是一项通过 MS-DRSR 协议复制 AD信息以及哈希的技术。DCSync 权限意味着持有对象对域具有 DS-Replication-Get-Changes，Replicating...

此时，我们已经拿到了域管理员的身份，并且可以随意地查询到任何用户的凭证，那么怎么进行之后的利用呢？ 黄金票据 回顾一下 Kerberos 的认证流程，当用户申请 TGT 的时候，DC使用 k...

类似于黄金票据，钻石票是一种 TGT，可以以任何用户身份来访问任何服务。黄金票据是完全离线伪造的，用该域的 krbtgt 哈希加密，然后传递到登录会话中以供使用。因为域控制器不追踪它发布的有效 ...

当我们最终接管了当前域，接下来要做的便是占领更多的域，主要通过利用域信任以及其他的不当配置来实现。在那之前，我们需要熟悉一些跨域理论相关的名词，因为跨域理论较为复杂，涉及到的理论知识比较多。 ...

有了上一小节的理论基础，我们来利用双向信任实现域间的移动。因为双向信任既可以发生于森林之内，也可以发生于森林之间，因此我们分别讨论。 森林之内 森林之内的横向移动是最简单的情形，因为信任...

入口信任，即目标域信任当前域，当前域可以访问目标域中的资源。要想从当前域移动到信任我们的目标域，我们有以下步骤需要完成： 寻找外部组/成员。 既然我们可以访问目标域中的资源，自然可以使用 P...

相比于入口信任与双向信任，出口信任的利用途径则少了许多，因为我们无法直接对目标域进行枚举和访问。如图所示，white-bird 域信任 med-deal 域，因此在 white-bird 域里，...

当我们支配了整个域甚至森林之后，我们想要在域内维持高特权。我们可以通过多种技术实现域内访问持久化，有些技术在之前内容已经涉及过了，例如对高特权的主机 (例如配置非约束委派的) 实现本地持久化、对...

万能钥匙 (Skeleton key) 是一种持久化技术，只适用于域控制器，通过补丁域控制器上的 Lsass.exe 进程以劫持 NTLM 和 Kerberos 认证流程，以允许任何用户以一个相...

在之前的内容里，我们知道 AP/SSP 通过分析登陆数据来认证 Windows 用户，不同的 AP/SSP 对多种登陆过程以及认证协议提供支持。AP/SSP 以 DLL 形式存在，被 LSA 所...

背景 在具有 ADCS 的环境里，CA 的私钥在 CA 服务器上受到 DPAPI 或硬件解决方案 (HSM/TPM) 的保护。 此外，证书被发布在 NTAuthCertificates 森林对...

练习 1：回顾一下，从黑盒的角度，我们是怎么一步步利用并最终攻陷 back_operator 用户的？ 2：尝试制作其他服务的白银票据，并验证是否得到了对应的访问 3：用 Mimikatz...