AD域应急-Golden Ticket攻击狩猎

在企业级 Windows 域环境中，Kerberos 是最核心的身份认证机制之一。而一旦 Kerberos 的根基被攻破，攻击者就可能获得对整个域的“无限通行证”——这正是 Golden Ticket（黄金票据）攻击 的本质。

在 Active Directory 环境中，NTDS.dit 是最核心、也是最危险的一份数据。一旦这份文件落入攻击者手中，基本可以视为整个域已经失守。在应急响应过程中，如果我们忽略了对 NTDS 数据库转储行为的监控，往往意味着攻击者离拿下域控不远了。

在 Active Directory 域环境中，LDAP 是一个再正常不过的存在。无论是用户登录、计算机加入域，还是服务账户访问资源，底层几乎都绕不开 LDAP 查询。从运维视角看，这是“基础设施的必要操作”；但从攻击者视角看，LDAP 则是快速摸清整个域环境结构的捷径。

在 Active Directory 环境中，Kerberoasting 是一种非常经典、也非常“务实”的攻击方式。攻击者并不需要管理员权限，只要拥有一个普通的域用户账号，就可以对配置不当的服务账号发起攻击。

在 Active Directory 环境中，AS-REP Roasting 是一种针对 禁用了 Kerberos 预身份验证（Pre-Authentication）账户 的攻击手法。攻击者并不需要获取用户的明文密码，只要目标账户关闭了预身份验证，就可以直接向域控制器请求 Kerberos 的 TGT（Ticket Granting Ticket），并将返回的数据用于离线密码破解。

由于k8s涉及到的概念非常多，理解起来可能非常费劲，这里用一座城市的故事，类比讲解 K8s架构，通俗易懂 。

└─# vol -f sample.mem linux.pstree.PsTree
Volatility 3 Framework 2.11.0
Progress:  100.00               Stacking attempts finished                 
Unsatisfied requirement plugins.PsTree.kernel.layer_name: 
Unsatisfied requirement plugins.PsTree.kernel.symbol_table_name: 

A translation layer requirement was not fulfilled.  Please verify that:
        A file was provided to create this layer (by -f, --single-location or by config)
        The file exists and is readable
        The file is a valid memory image and was acquired cleanly

A symbol table requirement was not fulfilled.  Please verify that:
        The associated translation layer requirement was fulfilled
        You have the correct symbol file for the requirement
        The symbol file is under the correct directory or zip file
        The symbol file is named appropriately or contains the correct banner

Unable to validate the plugin requirements: ['plugins.PsTree.kernel.layer_name', 'plugins.PsTree.kernel.symbol_table_name']

vol3分析Linux内存通常都会遇到上面的报错，就是缺少对应的系统符号表。但网上介绍Volatility3的文章大部分都是都把工具的命令行翻译成中文，当真的去实操vol分析内存时会发现有太多的坑，因为分析内存是需要当前系统的符号表。

vol3自带的Linux符号表非常少，而Linux的kernel版本又非常众多，大多数情况都需要在对应的机器上手动导出符号表才能开始分析内存。