背景

前置知识

API网关

在微服务架构中，由于一个系统由多个服务组成，客户端不再直接请求服务，而是添加了API网关的概念。客户端直接向API网关发起请求，由API网关对请求进行处理，并分发给不同的服务。

具体区别如下图：

Spring Cloud Gateway

概念

Spring Cloud Gateway 是 Spring Cloud 团队基于 Spring 5.0、Spring Boot 2.0 和 Project Reactor 等技术开发的高性能 API 网关组件。

Spring Cloud GateWay 最主要的功能就是路由转发，而在定义转发规则时主要涉及了以下三个核心概念，如下表。

漏洞简介

前段时间，微软公布了名为Windows PrintNightmare的安全漏洞，获得编号CVE-2021-34527。其与漏洞CVE-2021-1675极其相似，都是通过加载DLL的方式实现代码执行。未经身份验证的远程攻击者可利用该漏洞以SYSTEM权限在域控制器上执行任意代码，从而获得整个域的控制权。微软对于该漏洞的修补工作并没有一步到位，在第一次漏洞爆出并发布修补程序后，仍可以通过其他方式绕过补丁继续利用该漏洞，微软不得不二次进行修补才成功杜绝该漏洞所带来的安全问题。

背景

漏洞编号为：CVE-2021-42278 和 CVE-2021-42287

CVE-2021-42278：通常情况下，机器账户应以$结尾，即DC$。 但是AD域并没有对其进行强校验。通过建立与域控同名却不以$结尾的机器账户，即DC，对域控进行欺骗。

基本知识

Kerberos基本概念

Kerberos是一种第三方认证协议，通过使用对称加密技术为客户端/服务器应用程序提供强身份验证。在希腊神话中Kerberos是守护地狱之门的一条三头神犬，而这三个头分别代表着协议的三个角色，如下图所示它们分别是：