Resource-based Constrained Delegation
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Hii ni sawa na Constrained Delegation ya msingi lakini badala ya kutoa ruhusa kwa kitu kuweza kujifanya kama mtumiaji yeyote dhidi ya huduma. Resource-based Constrained Delegation inasanifisha katika kitu ambacho kinaweza kujifanya kama mtumiaji yeyote dhidi yake.
Katika kesi hii, kitu kilichozuiliwa kitakuwa na sifa inayoitwa msDS-AllowedToActOnBehalfOfOtherIdentity yenye jina la mtumiaji ambaye anaweza kujifanya kama mtumiaji mwingine dhidi yake.
Tofauti nyingine muhimu kutoka kwa Constrained Delegation hii hadi delegations nyingine ni kwamba mtumiaji yeyote mwenye ruhusa za kuandika juu ya akaunti ya mashine (_GenericAll/GenericWrite/WriteDacl/WriteProperty/n.k.) anaweza kuweka msDS-AllowedToActOnBehalfOfOtherIdentity (Katika aina nyingine za Delegation ulihitaji ruhusa za admin wa kikoa).
Katika Constrained Delegation ilisemwa kwamba TrustedToAuthForDelegation
bendera ndani ya userAccountControl thamani ya mtumiaji inahitajika ili kutekeleza S4U2Self. Lakini hiyo si kweli kabisa.
Ukweli ni kwamba hata bila thamani hiyo, unaweza kutekeleza S4U2Self dhidi ya mtumiaji yeyote ikiwa wewe ni huduma (una SPN) lakini, ikiwa una TrustedToAuthForDelegation
TGS iliyorejeshwa itakuwa Forwardable na ikiwa huna bendera hiyo TGS iliyorejeshwa haitakuwa Forwardable.
Hata hivyo, ikiwa TGS iliyotumika katika S4U2Proxy SIO Forwardable kujaribu kutumia Constrained Delegation ya msingi haitafanya kazi. Lakini ikiwa unajaribu kutumia Resource-Based constrain delegation, itafanya kazi (hii si udhaifu, ni kipengele, kwa wazi).
Ikiwa una ruhusa sawa za kuandika juu ya akaunti ya Kompyuta unaweza kupata ufikiaji wa ruhusa katika mashine hiyo.
Fikiria kwamba mshambuliaji tayari ana ruhusa sawa za kuandika juu ya kompyuta ya mwathirika.
Mshambuliaji anashambulia akaunti ambayo ina SPN au anaunda moja (“Huduma A”). Kumbuka kwamba mtumiaji yeyote Admin User bila ruhusa nyingine maalum anaweza kuunda hadi vitu 10 vya Kompyuta (MachineAccountQuota) na kuweka SPN. Hivyo mshambuliaji anaweza tu kuunda kitu cha Kompyuta na kuweka SPN.
Mshambuliaji anatumia ruhusa zake za KUANDIKA juu ya kompyuta ya mwathirika (HudumaB) ili kuunda resource-based constrained delegation ili kuruhusu HudumaA kujifanya kama mtumiaji yeyote dhidi ya kompyuta hiyo ya mwathirika (HudumaB).
Mshambuliaji anatumia Rubeus kutekeleza shambulio kamili la S4U (S4U2Self na S4U2Proxy) kutoka Huduma A hadi Huduma B kwa mtumiaji mwenye ufikiaji wa ruhusa kwa Huduma B.
S4U2Self (kutoka kwa akaunti ya SPN iliyoshambuliwa/iliyoundwa): Omba TGS ya Msimamizi kwangu (Sio Forwardable).
S4U2Proxy: Tumia TGS isiyo Forwardable ya hatua ya awali kuomba TGS kutoka kwa Msimamizi hadi kompyuta ya mwathirika.
Hata kama unatumia TGS isiyo Forwardable, kwani unatumia Resource-based constrained delegation, itafanya kazi.
Mshambuliaji anaweza kupitisha tiketi na kujifanya kama mtumiaji ili kupata ufikiaji kwa HudumaB ya mwathirika.
Ili kuangalia MachineAccountQuota ya kikoa unaweza kutumia:
Unaweza kuunda kituo cha kompyuta ndani ya eneo kutumia powermad:
Kutumia moduli ya activedirectory PowerShell
Kutumia powerview
Kwanza kabisa, tuliumba kituo kipya cha Kompyuta chenye nenosiri 123456
, hivyo tunahitaji hash ya nenosiri hilo:
Hii itachapisha hash za RC4 na AES kwa akaunti hiyo. Sasa, shambulio linaweza kufanywa:
Unaweza kuunda tiketi zaidi kwa kuomba mara moja ukitumia paramu ya /altservice
ya Rubeus:
Kumbuka kwamba watumiaji wana sifa inayoitwa "Haiwezi kuwakilishwa". Ikiwa mtumiaji ana sifa hii kuwa Kweli, huwezi kumwakilisha. Mali hii inaweza kuonekana ndani ya bloodhound.
Amri ya mwisho itatekeleza shambulio kamili la S4U na itachoma TGS kutoka kwa Administrator hadi mwenyeji wa mwathirika katika kumbukumbu. Katika mfano huu, ilihitajika TGS kwa huduma ya CIFS kutoka kwa Administrator, hivyo utaweza kufikia C$:
Jifunze kuhusu tiketi za huduma zinazopatikana hapa.
KDC_ERR_ETYPE_NOTSUPP
: Hii inamaanisha kwamba kerberos imewekwa ili isitumie DES au RC4 na unatoa tu hash ya RC4. Toa kwa Rubeus angalau hash ya AES256 (au toa tu hash za rc4, aes128 na aes256). Mfano: [Rubeus.Program]::MainString("s4u /user:FAKECOMPUTER /aes256:CC648CF0F809EE1AA25C52E963AC0487E87AC32B1F71ACC5304C73BF566268DA /aes128:5FC3D06ED6E8EA2C9BB9CC301EA37AD4 /rc4:EF266C6B963C0BB683941032008AD47F /impersonateuser:Administrator /msdsspn:CIFS/M3DC.M3C.LOCAL /ptt".split())
KRB_AP_ERR_SKEW
: Hii inamaanisha kwamba wakati wa kompyuta ya sasa ni tofauti na ile ya DC na kerberos haifanyi kazi ipasavyo.
preauth_failed
: Hii inamaanisha kwamba jina la mtumiaji lililotolewa + hash hazifanyi kazi kuingia. Huenda umesahau kuweka "$" ndani ya jina la mtumiaji unapozalisha hash (.\Rubeus.exe hash /password:123456 /user:FAKECOMPUTER$ /domain:domain.local
)
KDC_ERR_BADOPTION
: Hii inaweza kumaanisha:
Mtumiaji unayejaribu kujifanya hawezi kufikia huduma inayotakiwa (kwa sababu huwezi kujifanya au kwa sababu hana ruhusa za kutosha)
Huduma iliyoulizwa haipo (ikiwa unahitaji tiketi ya winrm lakini winrm haifanyi kazi)
Kompyuta ya uwongo iliyoundwa imepoteza ruhusa zake juu ya seva iliyo hatarini na unahitaji kuzirudisha.
Jifunze & fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze & fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)