Unconstrained Delegation
Unconstrained delegation
Αυτή είναι μια δυνατότητα που μπορεί να ρυθμίσει ένας Διαχειριστής Τομέα σε οποιονδήποτε Υπολογιστή μέσα στον τομέα. Έτσι, κάθε φορά που ένας χρήστης συνδέεται στον Υπολογιστή, ένα αντίγραφο του TGT αυτού του χρήστη θα σταλεί μέσα στο TGS που παρέχεται από τον DC και θα αποθηκευτεί στη μνήμη στο LSASS. Έτσι, αν έχετε δικαιώματα Διαχειριστή στη μηχανή, θα μπορείτε να dump τα εισιτήρια και να προσποιηθείτε τους χρήστες σε οποιαδήποτε μηχανή.
Έτσι, αν ένας διαχειριστής τομέα συνδεθεί σε έναν Υπολογιστή με ενεργοποιημένη τη δυνατότητα "Unconstrained Delegation", και έχετε τοπικά δικαιώματα διαχειριστή σε αυτή τη μηχανή, θα μπορείτε να dump το εισιτήριο και να προσποιηθείτε τον Διαχειριστή Τομέα οπουδήποτε (domain privesc).
Μπορείτε να βρείτε αντικείμενα Υπολογιστή με αυτό το χαρακτηριστικό ελέγχοντας αν το userAccountControl χαρακτηριστικό περιέχει ADS_UF_TRUSTED_FOR_DELEGATION. Μπορείτε να το κάνετε αυτό με ένα φίλτρο LDAP του ‘(userAccountControl:1.2.840.113556.1.4.803:=524288)’, το οποίο είναι αυτό που κάνει το powerview:
Φορτώστε το εισιτήριο του Διαχειριστή (ή του θύματος χρήστη) στη μνήμη με Mimikatz ή Rubeus για ένα Pass the Ticket. Περισσότερες πληροφορίες: https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/ Περισσότερες πληροφορίες σχετικά με την Unconstrained delegation στο ired.team.
Force Authentication
Αν ένας επιτιθέμενος είναι σε θέση να συμβιβάσει έναν υπολογιστή που επιτρέπεται για "Unconstrained Delegation", θα μπορούσε να παραπλανήσει έναν Print server να συνδεθεί αυτόματα σε αυτόν αποθηκεύοντας ένα TGT στη μνήμη του διακομιστή. Έτσι, ο επιτιθέμενος θα μπορούσε να εκτελέσει μια επίθεση Pass the Ticket για να προσποιηθεί τον λογαριασμό υπολογιστή του Print server.
Για να κάνετε έναν εκτυπωτή server να συνδεθεί σε οποιαδήποτε μηχανή μπορείτε να χρησιμοποιήσετε SpoolSample:
Αν το TGT προέρχεται από έναν ελεγκτή τομέα, μπορείτε να εκτελέσετε μια DCSync attack και να αποκτήσετε όλους τους κατακερματισμούς από τον DC. Περισσότερες πληροφορίες σχετικά με αυτήν την επίθεση στο ired.team.
Ακολουθούν άλλοι τρόποι για να προσπαθήσετε να επιβάλετε μια αυθεντικοποίηση:
Force NTLM Privileged AuthenticationMitigation
Περιορίστε τις συνδέσεις DA/Admin σε συγκεκριμένες υπηρεσίες
Ορίστε "Ο λογαριασμός είναι ευαίσθητος και δεν μπορεί να ανατεθεί" για προνομιακούς λογαριασμούς.
Last updated