Unconstrained Delegation

Unconstrained delegation

Bu, bir Alan Yöneticisinin alan içindeki herhangi bir Bilgisayara ayarlayabileceği bir özelliktir. Daha sonra, bir kullanıcı Bilgisayara giriş yaptığında, o kullanıcının TGT'sinin bir kopyası DC tarafından sağlanan TGS'ye gönderilecek ve LSASS'te bellekte saklanacaktır. Yani, makinede Yönetici ayrıcalıklarınız varsa, biletleri dökebilir ve kullanıcıları taklit edebilirsiniz.

Eğer bir alan yöneticisi "Sınırsız Delegasyon" özelliği etkin olan bir Bilgisayara giriş yaparsa ve o makinede yerel yönetici ayrıcalıklarınız varsa, bileti dökebilir ve Alan Yöneticisini her yerde taklit edebilirsiniz (alan privesc).

Bu özelliğe sahip Bilgisayar nesnelerini bulabilirsiniz; userAccountControl niteliğinin ADS_UF_TRUSTED_FOR_DELEGATION içerip içermediğini kontrol ederek. Bunu ‘(userAccountControl:1.2.840.113556.1.4.803:=524288)’ LDAP filtresi ile yapabilirsiniz; bu, powerview'ün yaptığıdır:

# Sınırsız bilgisayarları listele
## Powerview
Get-NetComputer -Unconstrained #DC'ler her zaman görünür ama privesc için faydalı değildir
## ADSearch
ADSearch.exe --search "(&(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=524288))" --attributes samaccountname,dnshostname,operatingsystem
# Mimikatz ile biletleri dışa aktar
privilege::debug
sekurlsa::tickets /export #Tavsiye edilen yol
kerberos::list /export #Başka bir yol

# Girişleri izleyin ve yeni biletleri dışa aktarın
.\Rubeus.exe monitor /targetuser:<username> /interval:10 #Yeni TGT'ler için her 10 saniyede bir kontrol et

Yönetici (veya kurban kullanıcının) biletini bellekte Mimikatz veya Rubeus ile yükleyin Bileti Geç. Daha fazla bilgi: https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/ Sınırsız delegasyon hakkında daha fazla bilgi ired.team'de.

Zorla Kimlik Doğrulama

Eğer bir saldırgan "Sınırsız Delegasyona" izin verilen bir bilgisayarı ele geçirebilirse, bir Yazıcı sunucusunu otomatik olarak giriş yapmaya kandırabilir ve bu da sunucunun belleğinde bir TGT kaydedebilir. Daha sonra, saldırgan Bileti Geç saldırısı yaparak yazıcı sunucu bilgisayar hesabını taklit edebilir.

Bir yazıcı sunucusunu herhangi bir makineye giriş yapması için SpoolSample kullanabilirsiniz:

.\SpoolSample.exe <printmachine> <unconstrinedmachine>

Eğer TGT bir etki alanı denetleyicisinden (DC) geliyorsa, bir DCSync attack gerçekleştirebilir ve DC'den tüm hash'leri elde edebilirsiniz. Bu saldırı hakkında daha fazla bilgi ired.team'de.

Kimlik doğrulamayı zorlamak için diğer yollar:

Mitigasyon

• DA/Yönetici girişlerini belirli hizmetlerle sınırlayın

• Ayrıcalıklı hesaplar için "Hesap hassas ve devredilemez" ayarını yapın.