文章总结： 本文深入分析AD域信任攻击的三个层次：同林内父子域提权、跨林信任滥用及SIDFiltering绕过。核心指出同一林内域信任默认关闭SIDFiltering，攻击者获取子域控后可通过伪造含EnterpriseAdminsSID的金票控制整个林。文章提供完整攻击链与防御建议，强调域信任不等于安全边界。 综合评分： 85 文章分类： 渗透测试,内网渗透,红队,漏洞分析,安全建设

打穿隔壁：AD域信任攻击——从子域到父域，从一个林到整个林

原创

极客零零七 极客零零七

极客零零七

2026年4月15日 16:30 加拿大

在小说阅读器读本章

去阅读

极客零零七 · AD攻击系列 · 第7篇

很多企业以为”把不同部门放在不同的域里”就是安全隔离。现实是：AD域信任是一条双向高速公路，攻击者拿下一个子域，往往就能打穿整个林。

本文讲清楚域信任攻击的三个层次：同林内的父子域提权、跨林信任滥用、以及SID Filtering绕过。每个层次都配完整的攻击链和防御要点。

一、域信任基础：信任不等于安全

信任类型

| 类型 | 方向 | 传递性 | 典型场景 | | — | — | — | — | | 父子信任（Parent-Child） | 双向 | 是 | 同一林内的父域和子域 | | 树根信任（Tree-Root） | 双向 | 是 | 同一林内的不同域树 | | 外部信任（External） | 单向或双向 | 否 | 不同林之间的单独域信任 | | 林信任（Forest） | 单向或双向 | 否 | 两个林的根域之间 | | MIT信任 | 单向或双向 | 否 | AD与非Windows Kerberos域 |

关键概念：SID Filtering

SID Filtering是跨信任边界的安全机制——它决定了哪些SID可以在跨域认证时被”尊重”。

同一林内（父子信任）：SID Filtering 默认关闭  → 攻击者可以伪造包含父域Enterprise Admins SID的票据
跨林信任：SID Filtering 默认开启  → 来自外部林的票据中，属于本林的SID会被过滤掉  → 但仍有绕过方式

这就是为什么同一林内的域边界几乎不构成安全边界。

信任枚举

## PowerView枚举所有信任关系Get-DomainTrustGet-DomainTrust -Domain parent.localGet-ForestDomain  # 枚举林内所有域
## 查看信任属性Get-DomainTrust | Select-Object SourceName, TargetName, TrustType, TrustDirection, TrustAttributes

## Linux工具## ldapsearch枚举信任ldapsearch -H ldap://10.10.10.1 -D "[email protected]" -w 'Pass' -b "CN=System,DC=child,DC=domain,DC=local" "(objectClass=trustedDomain)" cn trustDirection trustType trustAttributes
## BloodHound会自动收集信任关系bloodhound-python -u user -p pass -ns 10.10.10.1 -d child.domain.local -c All

二、父子域提权：从子域管理员到林根管理员

攻击原理

在同一个林内，Enterprise Admins组（存在于林根域）对所有子域都有完全控制权。父子信任默认不启用SID Filtering，这意味着：

如果攻击者拿下了子域的域控，可以伪造一张包含Enterprise Admins SID的Golden Ticket，直接获得整个林的控制权。

攻击前提

1. 已获得子域的krbtgt哈希（即已拿下子域域控）
2. 知道父域（林根域）的域SID
3. 知道Enterprise Admins组的SID（父域SID + -519）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：极客零零七 极客零零七 极客零零七《打穿隔壁：AD域信任攻击——从子域到父域，从一个林到整个林》