NetExec中Kerberos票据与BloodHound集成的身份验证问题分析

问题背景

在NetExec工具(原CrackMapExec)的使用过程中，安全研究人员发现了一个关于Kerberos票据与BloodHound集成功能的身份验证问题。当用户尝试使用Kerberos票据(-use-kcache参数)执行BloodHound数据收集时，系统会意外地尝试使用NTLM认证而非Kerberos认证，导致操作失败。

技术细节

该问题发生在LDAP协议模块与BloodHound的集成部分。具体表现为：

1. 当用户使用Kerberos票据进行认证时，NetExec能够成功建立LDAP连接
2. 但在执行BloodHound数据收集时，底层代码却尝试回退到NTLM认证
3. 由于未提供NTLM所需的domain\username和密码凭证，导致LDAPUnknownAuthenticationMethodError异常

根本原因

经过代码分析，问题源于BloodHound库的LDAP连接处理逻辑。在获取对象类型信息(get_objecttype)时，BloodHound会尝试建立新的LDAP连接，但未能正确继承NetExec已经建立的Kerberos认证上下文，而是默认尝试使用NTLM认证。

解决方案

开发团队已经修复了这个问题，主要改动包括：

1. 修改了BloodHound库中的LDAP连接逻辑，使其能够正确识别和使用现有的Kerberos认证
2. 确保在整个BloodHound数据收集过程中保持一致的认证方式
3. 优化了错误处理机制，提供更清晰的错误提示

影响范围

该问题影响所有使用Kerberos票据进行BloodHound数据收集的场景，特别是：

• 使用Kerberos票据(-use-kcache)执行BloodHound扫描(-bloodhound)的情况
• 在纯Kerberos环境中进行自动化渗透测试的工作流

最佳实践建议

对于安全研究人员，建议：

1. 及时更新到修复后的NetExec版本
2. 在使用Kerberos票据时，确认所有集成的工具链都支持Kerberos认证
3. 对于复杂的AD环境评估，考虑多种认证方式的组合使用
4. 在执行关键操作前，先进行小范围测试验证功能正常

该修复显著提升了NetExec在Kerberos环境中的稳定性和可用性，使安全评估工作更加顺畅。