Απεριόριστη ανάθεση

Αυτή είναι μια δυνατότητα που μπορεί να ορίσει ένας Διαχειριστής του Τομέα σε οποιοδήποτε Υπολογιστή μέσα στον τομέα. Έπειτα, κάθε φορά που ένας χρήστης συνδέεται στον Υπολογιστή, ένα αντίγραφο του TGT του χρήστη θα αποστέλλεται μέσα στο TGS που παρέχεται από τον DC και αποθηκεύεται στη μνήμη του LSASS. Έτσι, αν έχετε δικαιώματα Διαχειριστή στον υπολογιστή, θα μπορείτε να αντλήσετε τα εισιτήρια και να προσομοιώσετε τους χρήστες σε οποιονδήποτε υπολογιστή.

Έτσι, αν ένας διαχειριστής του τομέα συνδέεται σε έναν Υπολογιστή με ενεργοποιημένη τη δυνατότητα "Απεριόριστης ανάθεσης" και έχετε τοπικά δικαιώματα διαχειριστή σε αυτόν τον υπολογιστή, θα μπορείτε να αντλήσετε το εισιτήριο και να προσομοιώσετε τον Διαχειριστή του Τομέα οπουδήποτε (προώθηση προνομίων τομέα).

Μπορείτε να βρείτε αντικείμενα Υπολογιστή με αυτό το χαρακτηριστικό ελέγχοντας αν το γνώρισμα userAccountControl περιέχει ADS_UF_TRUSTED_FOR_DELEGATION. Μπορείτε να το κάνετε αυτό με ένα φίλτρο LDAP της μορφής ‘(userAccountControl:1.2.840.113556.1.4.803:=524288)’, που είναι αυτό που κάνει το powerview:

# Λίστα μη περιορισμένων υπολογιστών
## Powerview
Get-NetComputer -Unconstrained #Οι DC εμφανίζονται πάντα αλλά δεν είναι χρήσιμοι για προνομιοποίηση
## ADSearch
ADSearch.exe --search "(&(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=524288))" --attributes samaccountname,dnshostname,operatingsystem
# Εξαγωγή εισιτηρίων με το Mimikatz
privilege::debug
sekurlsa::tickets /export #Συνιστώμενος τρόπος
kerberos::list /export #Άλλος τρόπος

# Παρακολούθηση συνδέσεων και εξαγωγή νέων εισιτηρίων
.\Rubeus.exe monitor /targetuser:<username> /interval:10 #Ελέγξτε κάθε 10 δευτερόλεπτα για νέα TGTs

Φορτώστε το εισιτήριο του Διαχειριστή (ή του θύματος χρήστη) στη μνήμη με το Mimikatz ή το Rubeus για ένα Pass the Ticket. Περισσότερες πληροφορίες: https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/ Περισσότερες πληροφορίες σχετικά με την απεριόριστη ανάθεση στο ired.team.

Εξαναγκασμός πιστοποίησης

Αν ένας επιτιθέμενος είναι σε θέση να διακινδυνεύσει έναν υπολογιστή που επιτρέπεται για "Απεριόριστη ανάθεση", μπορεί να εξαπατήσει έναν εκτυπωτικό διακομιστή να συνδεθεί αυτόματα με αυτόν, αποθηκεύοντας ένα TGT στη μνήμη του διακομιστή. Στη συνέχεια, ο επιτιθέμενος μπορεί να πραγματοποιήσει μια επίθεση Pass the Ticket για να προσομοιώσει τον λογαριασμό χρήστη του εκτυπωτικού διακομιστή.

Για να κάνετε έναν εκτυπωτικό διακομιστή να συνδεθεί σε οποιονδήποτε υπολογιστή, μπορείτε να χρησιμοποιήσετε το SpoolSample:

.\SpoolSample.exe <printmachine> <unconstrinedmachine>

Εάν το TGT είναι από έναν ελεγκτή τομέα, μπορείτε να πραγματοποιήσετε μια επίθεση DCSync και να αποκτήσετε όλες τις κατακερματισμένες τιμές από τον ελεγκτή τομέα. Περισσότερες πληροφορίες για αυτήν την επίθεση στο ired.team.

Εδώ υπάρχουν και άλλοι τρόποι για να προσπαθήσετε να εξαναγκάσετε μια πιστοποίηση:

Αντιμετώπιση

• Περιορίστε τις συνδέσεις DA/Admin σε συγκεκριμένες υπηρεσίες

• Ορίστε "Ο λογαριασμός είναι ευαίσθητος και δεν μπορεί να ανατεθεί" για προνομιούχους λογαριασμούς.