Unconstrained Delegation

Вивчіть хакінг AWS від нуля до героя з htARTE (HackTricks AWS Red Team Expert)!

Ви працюєте в кібербезпеці компанії? Хочете побачити вашу компанію рекламовану на HackTricks? або хочете мати доступ до останньої версії PEASS або завантажити HackTricks у форматі PDF? Перевірте ПЛАНИ ПІДПИСКИ!
Дізнайтеся про Сім'ю PEASS, нашу колекцію ексклюзивних NFT
Отримайте офіційний PEASS & HackTricks мерч
Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за мною на Twitter 🐦@carlospolopm.
Поділіться своїми хакерськими трюками, надсилайте PR до репозиторію hacktricks та репозиторію hacktricks-cloud.

Неконтрольована делегація

Це функція, яку Адміністратор домену може встановити на будь-який Комп'ютер всередині домену. Після цього, кожного разу, коли користувач увійде в систему на Комп'ютер, копія TGT цього користувача буде відправлена всередину TGS, наданого DC, та збережена в пам'яті в LSASS. Таким чином, якщо у вас є привілеї адміністратора на машині, ви зможете витягти квитки та видаєте себе за користувачів на будь-якій машині.

Таким чином, якщо адміністратор домену увійшов в систему на Комп'ютері з активованою функцією "Неконтрольована делегація", і у вас є привілеї локального адміністратора на цій машині, ви зможете витягти квиток та видаєте себе за адміністратора домену де завгодно (підвищення привілеїв домену).

Ви можете знайти об'єкти Комп'ютера з цим атрибутом, перевіривши, чи містить атрибут userAccountControl ADS_UF_TRUSTED_FOR_DELEGATION. Це можна зробити за допомогою фільтра LDAP ' (userAccountControl:1.2.840.113556.1.4.803:=524288)', це те, що робить powerview:

# Список комп'ютерів без обмежень
## Powerview
Get-NetComputer -Unconstrained #DCs завжди з'являються, але не є корисними для підвищення привілеїв
## ADSearch
ADSearch.exe --search "(&(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=524288))" --attributes samaccountname,dnshostname,operatingsystem
# Експорт квитків за допомогою Mimikatz
privilege::debug
sekurlsa::tickets /export #Рекомендований спосіб
kerberos::list /export #Інший спосіб

# Моніторинг входів та експорт нових квитків
.\Rubeus.exe monitor /targetuser:<username> /interval:10 #Перевіряти кожні 10 секунд на нові TGTs

Завантажте квиток Адміністратора (або жертви користувача) в пам'ять за допомогою Mimikatz або Rubeus для Pass the Ticket. Додаткова інформація: https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/ Додаткова інформація про неконтрольовану делегацію на ired.team.

Примусова аутентифікація

Якщо зловмисник може компрометувати комп'ютер, дозволений для "Неконтрольованої делегації", він може обманути Принт-сервер для автоматичного входу в систему проти нього зберігаючи TGT в пам'яті сервера. Потім зловмисник може виконати атаку Pass the Ticket для видачі себе за користувача облікового запису комп'ютера принт-сервера.

Щоб зробити принт-сервер ввійти в систему на будь-яку машину, ви можете використати SpoolSample:

.\SpoolSample.exe <printmachine> <unconstrinedmachine>

Якщо TGT від контролера домену, ви можете виконати атаку DCSync та отримати всі хеші з DC. Додаткова інформація про цю атаку на ired.team.

Ось інші способи спроби примусової аутентифікації:

pageForce NTLM Privileged Authentication

Пом'якшення

Обмежте вхід DA/Admin для конкретних служб
Встановіть "Обліковий запис є чутливим і не може бути делегованим" для привілейованих облікових записів.

PreviousSkeleton Key NextWindows Security Controls

Last updated 1 month ago