最近出了两个漏洞： · **CVE-2021-42278**，机器账户的名字一般来说应该以$结尾，但AD没有对域内机器账户名做验证。 · **CVE-2021-42287**，与上述漏洞配合使用，创建与DC机器账户名字相同的机器账户（不以$结尾），账户请求一个TGT后，更名账户，然后通过S4U2self申请TGS Ticket，接着DC在TGS\_REP阶段，这个账户不存在的时候，DC会使用自己的密钥加密TGS Ticket，提供一个属于该账户的PAC，然后我们就得到了一个高权限ST。 其实就是：如果获得了 DC 用户的 TGT 票据且域内有一台名为 DC$ 域控，再将 DC 用户删除，此时使用该 TGT 去请求 s4u2self,如果域控制器帐户 DC$ 存在，那么 DC 就能获得域控制器帐户(机器用户DC$)的 ST 票证。 假如域内有一台域控名为 DC（域控对应的机器用户为 DC$），此时攻击者利用漏洞 CVE-2021-42287 创建一个机器用户 saulGoodman$，再把机器用户 saulGoodman$ 的 sAMAccountName 改成 DC。然后利用 DC 去申请一个TGT票据。再把 DC 的sAMAccountName 改为 saulGoodman$。这个时候 KDC 就会判断域内没有 DC 和这个用户，自动去搜索 DC$（DC$是域内已经的域控DC 的 sAMAccountName），攻击者利用刚刚申请的 TGT 进行 S4U2self，模拟域内的域管去请求域控 DC 的 ST 票据，最终获得域控制器DC的权限。 **有复现过兄弟们可以一起出来讨论交流下，赞同前三奖励金币。**