1.发现信任

第一步是找出存在哪些信任。有几种方法可以做到这一点，但我们将通过 PowerShell 使用的两种方法是 PowerSploit 框架和Active Directory PowerShell 模块。

对于我们找到的每个信任，我们需要检查是否启用了 SID 过滤。如果是，则无法使用历史 SID 访问信任另一端的林。但是，如果它被禁用，我们正在开展业务。通常，此选项在迁移后会被禁用，以确保用户不会失去对他们需要的任何系统和数据的访问权限。以下 PowerShell 命令将发现信任并枚举其选项，包括 SID 筛选：

Get-NetDomainTrust | ForEach-Object{Get-ADTrust –filter * -server $_.TargetName}

下面提供了此命令的输出。您可以看到对 gobias.local 域的信任，其中禁用了 SID 过滤 (SidFilteringQuarantined = False)，因此我们将能够使用历史 SID 访问该域中的资源。

使用 SID 历史提升权限

接下来，我们需要向我们的用户帐户添加一个管理 SID，以便我们可以访问受信任林中的资源。DCShadow 在这里派上用场有两个原因：

• 您不能通过 AD 用户和计算机等应用程序本地更改 SID 历史记录。
• DCShadow 将在没有任何检测的情况下进行此更改。