Unconstrained Delegation
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Dies ist eine Funktion, die ein Domänenadministrator für jeden Computer innerhalb der Domäne festlegen kann. Jedes Mal, wenn sich ein Benutzer an dem Computer anmeldet, wird eine Kopie des TGT dieses Benutzers in das TGS gesendet, das vom DC bereitgestellt wird, und im Speicher in LSASS gespeichert. Wenn Sie also Administratorrechte auf der Maschine haben, können Sie die Tickets dumpen und die Benutzer auf jeder Maschine impersonieren.
Wenn sich ein Domänenadministrator an einem Computer mit aktivierter Funktion "Unconstrained Delegation" anmeldet und Sie lokale Administratorrechte auf dieser Maschine haben, können Sie das Ticket dumpen und den Domänenadministrator überall impersonieren (Domänenprivilegieneskalation).
Sie können Computerobjekte mit diesem Attribut finden, indem Sie überprüfen, ob das Attribut userAccountControl ADS_UF_TRUSTED_FOR_DELEGATION enthält. Sie können dies mit einem LDAP-Filter von ‘(userAccountControl:1.2.840.113556.1.4.803:=524288)’ tun, was powerview macht:
Laden Sie das Ticket des Administrators (oder des Opferbenutzers) mit Mimikatz oder Rubeus für ein Pass the Ticket. Weitere Informationen: https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/ Weitere Informationen zur Unconstrained Delegation bei ired.team.
Wenn ein Angreifer in der Lage ist, einen Computer zu kompromittieren, der für "Unconstrained Delegation" erlaubt ist, könnte er einen Druckserver täuschen, um sich automatisch bei ihm anzumelden und ein TGT im Speicher des Servers zu speichern. Dann könnte der Angreifer einen Pass the Ticket-Angriff durchführen, um das Benutzerkonto des Druckservers zu impersonieren.
Um einen Druckserver dazu zu bringen, sich an einer beliebigen Maschine anzumelden, können Sie SpoolSample verwenden:
Wenn das TGT von einem Domänencontroller stammt, könnten Sie einen DCSync-Angriff durchführen und alle Hashes vom DC erhalten. Weitere Informationen zu diesem Angriff auf ired.team.
Hier sind weitere Möglichkeiten, um eine Authentifizierung zu erzwingen:
Force NTLM Privileged AuthenticationBegrenzen Sie DA/Admin-Anmeldungen auf bestimmte Dienste
Setzen Sie "Konto ist sensibel und kann nicht delegiert werden" für privilegierte Konten.
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)