前言

在使用 Wireshark 分析 Active Directory 的 Kerberos 的流量时，会遇到加密票据的情况，这对进一步探究 AD 下的漏洞篡改事件的详细过程造成了影响。在查询资料时也了解到也有一些攻击流量的 payload 也可能存在被解析为加密存根导致分析中断。

此处记录一下如何在搭建的域控下对加密数据进行解密。

[!tip]
这不仅可以解密 Kerberos 的交换，TGT 申请过程，对于 NTLM、NTLMSSP 之类的流量也是可以解密的。

解密过程

获取密钥
Wireshark 可以通过提供其所需密钥来对流量尽心解析，密钥类型取决于 Kerberos 在交换过程中所需的算法，如：RC4、AES128、AES256 等。如果不确定需要什么密钥，尽可能地多添加密钥，常用的密钥有

krbtgt 密钥
域控用户密钥
服务用户密钥
机器账户密钥
机器名密钥（需要添加$符号）

对于这些密钥，我们可以使用 mimikatz 的 DCSync 功能进行获取，可以全部进行获取，也可以根据协议交换过程中用到的账户进行选择性获取，此处以 AD 的 adminis......