Unconstrained Delegation
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
이것은 도메인 관리자가 도메인 내의 모든 컴퓨터에 설정할 수 있는 기능입니다. 그런 다음, 사용자가 컴퓨터에 로그인할 때마다 해당 사용자의 TGT 복사본이 DC에서 제공하는 TGS 내에 전송되고 LSASS의 메모리에 저장됩니다. 따라서 해당 머신에서 관리자 권한이 있는 경우, 티켓을 덤프하고 사용자를 가장할 수 있습니다.
따라서 도메인 관리자가 "Unconstrained Delegation" 기능이 활성화된 컴퓨터에 로그인하고 해당 머신에서 로컬 관리자 권한이 있는 경우, 티켓을 덤프하고 도메인 관리자를 어디서든 가장할 수 있습니다(도메인 권한 상승).
이 속성이 있는 컴퓨터 객체를 찾으려면 userAccountControl 속성이 ADS_UF_TRUSTED_FOR_DELEGATION을 포함하는지 확인하십시오. 이는 ‘(userAccountControl:1.2.840.113556.1.4.803:=524288)’의 LDAP 필터로 수행할 수 있으며, 이는 powerview가 수행하는 작업입니다:
Mimikatz 또는 Rubeus를 사용하여 메모리에 관리자(또는 피해자 사용자)의 티켓을 로드하여 Pass the Ticket을 수행하십시오. 자세한 정보: https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/ Unconstrained delegation에 대한 추가 정보는 ired.team에서 확인하십시오.
공격자가 "Unconstrained Delegation"이 허용된 컴퓨터를 타격할 수 있다면, 그는 프린트 서버를 자동으로 로그인하도록 속일 수 있습니다, 이로 인해 서버의 메모리에 TGT가 저장됩니다. 그런 다음 공격자는 사용자 프린트 서버 컴퓨터 계정을 가장하기 위해 Pass the Ticket 공격을 수행할 수 있습니다.
프린트 서버가 어떤 머신에 로그인하도록 하려면 SpoolSample을 사용할 수 있습니다:
If the TGT if from a domain controller, you could perform a DCSync attack and obtain all the hashes from the DC. More info about this attack in ired.team.
인증을 강제로 시도할 수 있는 다른 방법은 다음과 같습니다:
Force NTLM Privileged AuthenticationDA/Admin 로그인을 특정 서비스로 제한
특권 계정에 대해 "계정은 민감하며 위임할 수 없습니다" 설정.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)