内网渗透 | Pass The Certificate when PKINIT Padata Type is NOSUPP

前段时间，我尝试为某域环境中的域控制器添加 msDS-KeyCredentialLink 属性来执行 Shadow Credentials，但在最后一步遇到了 PKINIT 不起作用的情况。最终，我成功使用证书通过 Schannel 对 LDAP/S 服务器进行身份验证，并执行基于资源的约束性委派攻击。Background前段时间，我尝试为某域环境中的域控制器添加 msDS-KeyCredentialLink 属性来执行 Shadow Credentials，但在最后一步遇到了 PKINIT 不起作用的情况。通常，在 Active Directory 环境中部署 PKI 时，会默认支持 PKINIT。然而，在我测试过程中，使用域控制器证书为域控制器申请 TGT 票据时遇到了以下错误消息：C:\Users\Marcus\Desktop>Rubeus.exe asktgt /user:DC02$ /certificate: /password:"P0eOh6YOpgYw99mx" /domain:pentest.com /dc:DC01.pentest.com /getcredentials /show /ptt   ______        _  (_____ \      | |   _____) )_   _| |__  _____ _   _  ………………………………