Unconstrained Delegation
Неконтрольована делегація
Це функція, яку Адміністратор домену може встановити на будь-який Комп'ютер всередині домену. Після цього, кожного разу, коли користувач увійде в систему на Комп'ютер, копія TGT цього користувача буде відправлена всередину TGS, наданого DC, та збережена в пам'яті в LSASS. Таким чином, якщо у вас є привілеї адміністратора на машині, ви зможете витягти квитки та видаєте себе за користувачів на будь-якій машині.
Таким чином, якщо адміністратор домену увійшов в систему на Комп'ютері з активованою функцією "Неконтрольована делегація", і у вас є привілеї локального адміністратора на цій машині, ви зможете витягти квиток та видаєте себе за адміністратора домену де завгодно (підвищення привілеїв домену).
Ви можете знайти об'єкти Комп'ютера з цим атрибутом, перевіривши, чи містить атрибут userAccountControl ADS_UF_TRUSTED_FOR_DELEGATION. Це можна зробити за допомогою фільтра LDAP ' (userAccountControl:1.2.840.113556.1.4.803:=524288)', це те, що робить powerview:
Завантажте квиток Адміністратора (або жертви користувача) в пам'ять за допомогою Mimikatz або Rubeus для Pass the Ticket. Додаткова інформація: https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/ Додаткова інформація про неконтрольовану делегацію на ired.team.
Примусова аутентифікація
Якщо зловмисник може компрометувати комп'ютер, дозволений для "Неконтрольованої делегації", він може обманути Принт-сервер для автоматичного входу в систему проти нього зберігаючи TGT в пам'яті сервера. Потім зловмисник може виконати атаку Pass the Ticket для видачі себе за користувача облікового запису комп'ютера принт-сервера.
Щоб зробити принт-сервер ввійти в систему на будь-яку машину, ви можете використати SpoolSample:
Якщо TGT від контролера домену, ви можете виконати атаку DCSync та отримати всі хеші з DC. Додаткова інформація про цю атаку на ired.team.
Ось інші способи спроби примусової аутентифікації:
pageForce NTLM Privileged AuthenticationПом'якшення
Обмежте вхід DA/Admin для конкретних служб
Встановіть "Обліковий запис є чутливим і не може бути делегованим" для привілейованих облікових записів.
Last updated