Unconstrained Delegation
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
这是一个域管理员可以设置在域内任何计算机上的功能。然后,每当用户登录到该计算机时,该用户的TGT副本将被发送到DC提供的TGS中并保存在LSASS的内存中。因此,如果您在该机器上拥有管理员权限,您将能够转储票证并在任何机器上冒充用户。
因此,如果域管理员登录到启用了“无约束委派”功能的计算机,并且您在该机器上拥有本地管理员权限,您将能够转储票证并在任何地方冒充域管理员(域权限提升)。
您可以通过检查userAccountControl属性是否包含ADS_UF_TRUSTED_FOR_DELEGATION来查找具有此属性的计算机对象。您可以使用LDAP过滤器‘(userAccountControl:1.2.840.113556.1.4.803:=524288)’来执行此操作,这正是powerview所做的:
使用Mimikatz或Rubeus在内存中加载管理员(或受害者用户)的票证以进行票证传递。 更多信息:https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/ 有关无约束委派的更多信息,请访问ired.team。
如果攻击者能够攻陷允许“无约束委派”的计算机,他可以欺骗一个打印服务器,使其自动登录并在服务器的内存中保存TGT。 然后,攻击者可以执行票证传递攻击以冒充用户打印服务器计算机帐户。
要使打印服务器登录到任何机器,您可以使用SpoolSample:
如果 TGT 来自域控制器,您可以执行一个 DCSync attack 并从 DC 获取所有哈希。 有关此攻击的更多信息,请访问 ired.team。
以下是尝试强制身份验证的其他方法:
Force NTLM Privileged Authentication将 DA/Admin 登录限制为特定服务
为特权账户设置“账户是敏感的,无法被委派”。
学习和实践 AWS 黑客技术:HackTricks Training AWS Red Team Expert (ARTE) 学习和实践 GCP 黑客技术:HackTricks Training GCP Red Team Expert (GRTE)
