Unconstrained Delegation

Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Werk jy in 'n cybersecurity-maatskappy? Wil jy jou maatskappy adverteer in HackTricks? Of wil jy toegang hê tot die nuutste weergawe van die PEASS of laai HackTricks in PDF af? Kyk na die SUBSCRIPTION PLANS!
Ontdek The PEASS Family, ons versameling eksklusiewe NFTs
Kry die amptelike PEASS & HackTricks swag
Sluit aan by die 💬 Discord-groep of die telegram-groep of volg my op Twitter 🐦@carlospolopm.
Deel jou hacking-truuks deur PR's in te dien by die hacktricks repo en hacktricks-cloud repo.

Onbeperkte delegasie

Dit is 'n funksie wat 'n Domeinadministrateur kan instel vir enige Rekenaar binne die domein. Dan, elke keer as 'n gebruiker aanmeld by die Rekenaar, sal 'n kopie van die TGT van daardie gebruiker gestuur word binne die TGS wat deur die DC voorsien word en in die geheue in LSASS gestoor word. So, as jy Administrateur-voorregte het op die masjien, sal jy in staat wees om die kaartjies te dump en die gebruikers te impersoneer op enige masjien.

Dus, as 'n domein-admin aanmeld op 'n Rekenaar met die "Onbeperkte Delegasie" funksie geaktiveer, en jy het plaaslike admin-voorregte binne daardie masjien, sal jy in staat wees om die kaartjie te dump en die Domein-admin enige plek te impersoneer (domeinprivesc).

Jy kan Rekenaarvoorwerpe met hierdie eienskap vind deur te kyk of die userAccountControl eienskap ADS_UF_TRUSTED_FOR_DELEGATION bevat. Jy kan dit doen met 'n LDAP-filter van ‘(userAccountControl:1.2.840.113556.1.4.803:=524288)’, dit is wat powerview doen:

# Lys onbeperkte rekenaars
## Powerview
Get-NetComputer -Unconstrained #DC's verskyn altyd, maar is nie nuttig vir privesc nie
## ADSearch
ADSearch.exe --search "(&(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=524288))" --attributes samaccountname,dnshostname,operatingsystem
# Voer kaartjies uit met Mimikatz
privilege::debug
sekurlsa::tickets /export #Aanbevole manier
kerberos::list /export #Nog 'n manier

# Monitor aanmeldings en voer nuwe kaartjies uit
.\Rubeus.exe monitor /targetuser:<gebruikersnaam> /interval:10 #Kyk elke 10s vir nuwe TGT's

Laai die kaartjie van die Administrateur (of slagoffer-gebruiker) in die geheue met Mimikatz of Rubeus vir 'n Pass the Ticket. Meer inligting: https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/ Meer inligting oor Onbeperkte delegasie in ired.team.

Dwing Verifikasie

As 'n aanvaller in staat is om 'n rekenaar wat toegelaat word vir "Onbeperkte Delegasie" te kompromitteer, kan hy 'n Drukbediener mislei om outomaties teen dit aan te meld en 'n TGT in die geheue van die bediener te stoor. Dan kan die aanvaller 'n Pass the Ticket-aanval uitvoer om die gebruiker se Drukbediener-rekenaarrekening te impersoneer.

Om 'n drukbediener teen enige masjien te laat aanmeld, kan jy SpoolSample gebruik:

.\SpoolSample.exe <printmachine> <unconstrinedmachine>

As die TGT van 'n domeinbeheerder afkomstig is, kan jy 'n DCSync-aanval uitvoer en al die hase van die DC verkry. Meer inligting oor hierdie aanval by ired.team.

Hier is ander maniere om te probeer om 'n outentifikasie af te dwing:

pageForce NTLM Privileged Authentication

Versagting

Beperk DA/Admin-aantekeninge tot spesifieke dienste
Stel "Rekening is sensitief en kan nie gedelegeer word nie" vir bevoorregte rekeninge.

Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Werk jy in 'n cybersekuriteitsmaatskappy? Wil jy jou maatskappy geadverteer sien in HackTricks? of wil jy toegang hê tot die nuutste weergawe van die PEASS of HackTricks aflaai in PDF-formaat? Kyk na die SUBSCRIPTION PLANS!
Ontdek The PEASS Family, ons versameling eksklusiewe NFTs
Kry die amptelike PEASS & HackTricks swag
Sluit aan by die 💬 Discord-groep of die telegram-groep of volg my op Twitter 🐦@carlospolopm.
Deel jou haktruuks deur PR's in te dien by die hacktricks repo en hacktricks-cloud repo.

PreviousSkeleton Key NextWindows Security Controls

Last updated 2 months ago