BloodyAD项目中的Kerberos凭据缓存问题分析与解决方案

背景介绍

在Active Directory安全测试中，BloodyAD是一款功能强大的工具，它能够执行多种AD环境下的攻击操作。其中add badSuccessor命令是一个关键功能，允许攻击者通过特殊手段获取高权限账户的访问凭证。但在实际使用过程中，我们发现生成的Kerberos凭据缓存(.ccache)文件存在一些需要特别注意的技术细节。

问题现象

当使用add badSuccessor命令时，生成的.ccache文件会包含两个独立的凭据：

1. 执行命令时使用的原始用户凭据
2. 新创建的attacker_dmsa$计算机账户的TGT票据

这种双重凭据结构会导致在使用Kerberos认证时出现预期之外的行为。默认情况下，工具会优先使用原始用户凭据而非新创建的高权限账户凭据，这使得攻击者无法直接利用获取到的特权。

技术分析

Kerberos凭据缓存文件可以存储多个票据，但大多数工具默认只使用第一个或默认主体的凭据。在BloodyAD生成的.ccache文件中：

1. 原始用户凭据：这是通过-u和-p参数指定的账户凭据
2. 高权限凭据：这是attacker_dmsa$账户的TGT，该账户已被添加到特权组(如域管理员、企业管理员等)

使用impacket-describeTicket工具可以清楚地看到缓存中包含的两组凭据及其对应的权限信息。

解决方案

要正确利用高权限凭据，有以下几种方法：

方法一：手动编辑.ccache文件

1. 使用minikerberos工具包中的ccache_editor.py脚本
2. 列出缓存中的所有凭据
3. 删除不需要的原始用户凭据
4. 保存编辑后的.ccache文件

方法二：指定使用特定凭据

某些工具支持直接指定使用哪个主体的凭据进行认证。例如在Impacket工具中，可以通过SPN格式明确指定要使用的账户。

方法三：等待BloodyAD更新

项目维护者已确认将在后续版本中修复此问题，使生成的.ccache文件只包含新创建的高权限账户凭据，避免多凭据带来的混淆。

最佳实践建议

1. 在使用.ccache文件前，先用klist或impacket-describeTicket检查其中包含的凭据
2. 对于包含多凭据的.ccache文件，建议先进行清理，只保留需要的凭据
3. 在自动化工具链中，确保正确处理多凭据情况，避免意外使用低权限凭据
4. 定期关注BloodyAD项目的更新，获取最新的功能改进和安全修复

总结

理解Kerberos凭据缓存的工作原理对于Active Directory安全测试至关重要。通过正确处理BloodyAD生成的.ccache文件，安全研究人员可以有效地利用获取到的高权限凭据进行后续测试。随着工具的不断完善，这类问题将得到更好的解决，但在当前版本中，掌握手动处理方法仍然是必要的技能。

对于渗透测试人员来说，这不仅是一个工具使用问题，更是深入理解Kerberos认证机制的好机会。建议在测试环境中多次练习凭据缓存的操作，以熟练掌握相关技术。