Certipy项目中的Kerberos PKINIT认证问题分析

Certipy是一个用于Active Directory证书服务(AD CS)渗透测试的强大工具，但在实际使用中可能会遇到"KDC_ERR_PADATA_TYPE_NOSUPP"错误。本文将深入分析这一问题的成因及解决方案。

问题背景

当使用Certipy工具尝试通过证书进行Kerberos认证时，部分用户会遇到"KDC_ERR_PADATA_TYPE_NOSUPP"错误，提示"KDC has no support for padata type"。这一错误表明域控制器不支持PKINIT认证方式。

技术原理

PKINIT是Kerberos协议的一个扩展，允许客户端使用X.509证书而非密码进行身份验证。当出现上述错误时，意味着：

1. 域控制器未正确配置支持PKINIT认证
2. 域控制器可能缺少必要的证书
3. 证书信任链可能存在问题

解决方案

方法一：使用LDAPS认证

当PKINIT不可用时，可以回退到LDAPS认证方式：

certipy auth -ldap-shell

这种方式通过TLS协议建立安全连接，虽然不如PKINIT优雅，但同样能完成认证过程，并支持后续的RBCD攻击等操作。

方法二：修复域控制器PKINIT支持

要使域控制器支持PKINIT认证，需要确保：

1. 域控制器已安装正确的证书
2. 证书信任链完整

具体操作步骤：

1. 将ADCS的根证书添加到域控制器的信任存储：

certutil -addstore root \\ADCS服务器\CertEnroll\ADCS.domain.local_CA名称.crt

2. 添加证书吊销列表(CRL)：

certutil -addstore CA \\ADCS服务器\CertEnroll\CA名称.crl
certutil -addstore CA \\ADCS服务器\CertEnroll\CA名称+.crl

3. 强制更新组策略：

gpupdate /force

问题排查建议

1. 检查域控制器的证书存储，确认是否存在有效的Kerberos认证证书
2. 验证证书信任链是否完整
3. 检查域控制器的Kerberos策略配置
4. 查看系统日志中的相关事件(如Windows事件ID 4771)

总结

Certipy工具在使用证书进行Kerberos认证时遇到的"KDC_ERR_PADATA_TYPE_NOSUPP"错误通常是由于域控制器PKINIT支持不完整导致的。安全研究人员可以通过LDAPS回退方案继续测试，或按照本文方法修复域控制器的PKINIT支持。理解这一问题的本质有助于更深入地掌握Active Directory证书服务的安全机制。