Unconstrained Delegation
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Це функція, яку адміністратор домену може налаштувати для будь-якого комп'ютера в домені. Тоді, щоразу, коли користувач входить на комп'ютер, копія TGT цього користувача буде надіслана всередині TGS, наданого DC, і збережена в пам'яті в LSASS. Отже, якщо у вас є привілеї адміністратора на машині, ви зможете вивантажити квитки та видавати себе за користувачів на будь-якій машині.
Отже, якщо адміністратор домену входить на комп'ютер з активованою функцією "Unconstrained Delegation", і у вас є локальні адміністративні привілеї на цій машині, ви зможете вивантажити квиток і видавати себе за адміністратора домену будь-де (підвищення привілеїв домену).
Ви можете знайти об'єкти комп'ютерів з цим атрибутом, перевіряючи, чи атрибут userAccountControl містить ADS_UF_TRUSTED_FOR_DELEGATION. Ви можете зробити це за допомогою LDAP-фільтра ‘(userAccountControl:1.2.840.113556.1.4.803:=524288)’, що робить powerview:
Завантажте квиток адміністратора (або користувача-жертви) в пам'ять за допомогою Mimikatz або Rubeus для Pass the Ticket. Більше інформації: https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/ Більше інформації про Unconstrained delegation на ired.team.
Якщо зловмисник зможе зламати комп'ютер, дозволений для "Unconstrained Delegation", він може обманути сервер друку, щоб автоматично увійти на нього, зберігаючи TGT в пам'яті сервера. Тоді зловмисник зможе виконати атаку Pass the Ticket, щоб видавати себе за обліковий запис комп'ютера сервера друку.
Щоб змусити сервер друку увійти на будь-яку машину, ви можете використовувати SpoolSample:
Якщо TGT отримано від контролера домену, ви можете виконати DCSync attack і отримати всі хеші з DC. Більше інформації про цю атаку на ired.team.
Ось інші способи спробувати примусити аутентифікацію:
Force NTLM Privileged AuthenticationОбмежте входи DA/Admin до конкретних сервісів
Встановіть "Обліковий запис є чутливим і не може бути делегований" для привілейованих облікових записів.
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)