本文更多的是根据调试Windows Server 2003，分析漏洞成因。
阅读本文需要一定的Kerberos基础知识、Windows源码阅读调试能力。单纯的阅读可能并不能完全理解其中的关键点，需要进行调试理解。
第一次发文，格式或内容有任何不对的地方，还请各位大佬批评指正。

漏洞编号为：CVE-2021-42278 和 CVE-2021-42287

CVE-2021-42278：通常情况下，机器账户应以\$结尾，即DC$。
但是AD域并没有对其进行强校验。通过建立与域控同名却不以\$结尾的机器账户，即DC，对域控进行欺骗。

CVE-2021-42287：利用上述漏洞进行欺骗，请求到DC的TGT后，修改自身的机器账号。之后，利用Kerberos的S4U2Self机制，请求对于“自己”（DC）的ST，但是由于此时机器名已经被修改而无法找到DC，域控将会用DC$的Key进行加密，并向其中添加请求的账户名的PAC。至此便得到了高权限ST。

域控：Windows Server 2003 Debug版
攻击机：Windows 7 x64 SP1
武器化工具：https://github.com/cube0x0/noPac

使用SysinternalsSuite中的ADExplorer64工具查看域内的所有机器账户

从上图中可以很明确的看到域控的机器名为WINSRVSERVER$，之后会使用WINSRVSERVER作为机器账户名进行欺骗。

相关准备工作不是本文重点，可以在noPac项目中学习

申请TGT时是根据修改后的机器账号WINSRVSERVER进行申请的。
域控调用I_GetASTicket处理AS_REQ消息
首先会调用KdcNormalize获得账户的相关信息包括UserInfo、ClientTicketInfo等
！！！请谨记这个函数，之后的漏洞利用过程会展开分析！！！

通过上面获得的ClientTicketInfo调用BuildTicketAS生成TGT，堆栈如下

查看参数ClientTicketInfo和ClientName可以看到此次是以WINSRVSERVER的身份去申请TGT。

上述函数工作完成后，查看生成的Ticket，即TGT

此时还没有向其中添加PAC，会通过之前获得的UserInfo调用KdcGetPacAuthData生成所需的PAC
此时的PAC为WINSRVSERVER的PAC，属于正常流程

之后便是将PAC放入TGT中，将其打包并使用krbtgt密钥进行加密，通过AS_REP消息传递回Client
关键代码如下，不再展开分析

还原机器账户名的目的是使得域控处理TGS_REQ请求的时候，找不到账户从而是用自己的Key加密

Client向域控申请WINSRVSERVER的服务票据，域控在HandleTGSRequest函数中处理TGS_REQ请求。

首先通过KerbFindPreAuthDataEntry获取TGS_REQ中包含的ApRequest

之后便是解析获得的APRequest获得解密后的TGT

KdcVerifyKdcRequest做了以下几件事情

查看这个函数的结果，获得了传过来的明文TGT和krbtgt的相关服务信息

之后会获取请求的相关信息

内容分别如下

之后会调用KdcFindS4UClientAndRealm来获取PA_DATA_FOR_USER这个结构中的内容
KdcFindS4UClientAndRealm函数会解析PaList并将其转换成KERB_PA_FOR_USER结构，目前需要注意的便是其中的userName是我们要请求的高权限用户的用户名Administrator

之后会通过KdcNormalize获取我们自身WINSRVSERVER的相关信息
其中的关键调用如下：

对于漏洞的利用便发生在这个函数中，并且利用了两次。
第一次实现了将申请的用户转换为域控上的Administrator
第二次实现了将申请的服务转换成WINSRVSERVER$
下面将详细分析漏洞点。

调用KdcNormalize时的相关参数中最重要的就是SourceCName
因为我们是在利用S4U2Self协议请求自身的ST，所以SourceCName也就是自身的名字WINSRVSERVER

之后在CheckSam条件中会调用到KdcGetTicketInfo来获取用户WINSRVSERVER的相关信息

此时OutputPrincipal的值为WINSRVSERVER，即我们自己的机器名DC，目前仍一切正常

之后会调用SamIGetUserLogonInformation2在SAM中查找对应的账户信息，但由于此时已经将创建的机器账号还原，所以并不能找到对应的账号，该函数会返回错误
但是系统并不会直接提示找不到账号，而是会在其后面添加'$'符号，将其作为机器账号再次查找

通过调试信息可以清晰的看到查找到的用户信息不再是WINSRVSERVER而是变成了WINSRVSERVER$也就是域控对应的机器账号UserId = 0x3ed
至此便完成了对于域控的欺骗，之后就是颁发ST的过程

至此，我们成功的请求的用户WINSRVSERVER伪装成了域控自身WINSRVSERVER$

之后再I_GetTGSTicket中，为了获得WINSRVSERVER这个服务的相关信息，又再次调用KdcNormalize，其中的流程与上述基本相同，这也就是漏洞的第二次利用。成功的将请求的服务从WINSRVSERVER伪装成WINSRVSERVER$

完成上述的两次利用后，其他过程都显得不再重要，但有一点仍然需要留意，便是关于PAC的问题。
之前TGT中的PAC主体为WINSRVSERVER，又是如何切换为申请的Administrator的，对于之前的PAC又是如何处理的。
下面将对这两点进行分析

S4U2self协议的意义是 服务器模拟用户向域控申请针对自身的ST，即给予用户访问服务的权限，所以返回的ST中应该插入的是用户的PAC，即下图中的(2)(3)两个过程
而上一步中我们申请的TGT中的PAC，是 不在下图中的Service1向KDC认证的过程 中颁发的PAC
明白了这点也就明白了为什么PAC会被替换

以下堆栈及函数完成了生成ST并向其中添加了用户PAC

对于原本的TGT中的PAC并没有做任何处理，直接将其丢弃了。

本文介绍了CVE-2021-42278和CVE-2021-42287的漏洞背景,并从系统层面详细分析了漏洞成因，其关键点在于S4U2self过程中的欺骗。

https://www.rfc-editor.org/rfc/rfc4120.txt
https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-sfu/1fb9caca-449f-4183-8f7a-1a5fc7e7290a
https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-sfu/aceb70de-40f0-4409-87fa-df00ca145f5a
https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-kile/ae60c948-fda8-45c2-b1d1-a71b484dd1f7
https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-pac/c38cc307-f3e6-4ed4-8c81-dc550d96223c

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！