5.3 KiB
Delegação sem restrições
Esta é uma funcionalidade que um Administrador de Domínio pode definir para qualquer Computador dentro do domínio. Então, sempre que um usuário fizer login no computador, uma cópia do TGT desse usuário será enviada para o TGS fornecido pelo DC e salva na memória em LSASS. Portanto, se você tiver privilégios de Administrador na máquina, poderá despejar os tickets e se passar pelos usuários em qualquer máquina.
Portanto, se um administrador de domínio fizer login em um computador com a funcionalidade "Delegação sem restrições" ativada, e você tiver privilégios de administrador local dentro dessa máquina, poderá despejar o ticket e se passar pelo Administrador de Domínio em qualquer lugar (privesc de domínio).
Você pode encontrar objetos de computador com esse atributo verificando se o atributo userAccountControl contém ADS_UF_TRUSTED_FOR_DELEGATION. Você pode fazer isso com um filtro LDAP de ‘(userAccountControl:1.2.840.113556.1.4.803:=524288)’, que é o que o powerview faz:
# Listar computadores sem restrições
## Powerview
Get-NetComputer -Unconstrained #DCs sempre aparecem, mas não são úteis para privesc
## ADSearch
ADSearch.exe --search "(&(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=524288))" --attributes samaccountname,dnshostname,operatingsystem
# Exportar tickets com Mimikatz
privilege::debug
sekurlsa::tickets /export #Forma recomendada
kerberos::list /export #Outra forma
# Monitorar logins e exportar novos tickets
.\Rubeus.exe monitor /targetuser:<username> /interval:10 #Verificar a cada 10s novos TGTs
Carregue o ticket do Administrador (ou usuário vítima) na memória com Mimikatz ou Rubeus para um Pass the Ticket.
Mais informações: https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/
Mais informações sobre delegação sem restrições em ired.team.
Forçar autenticação
Se um invasor conseguir comprometer um computador permitido para "Delegação sem restrições", ele poderia enganar um servidor de impressão para fazer login automaticamente contra ele salvando um TGT na memória do servidor.
Em seguida, o invasor poderia realizar um ataque de Pass the Ticket para se passar pela conta de computador do servidor de impressão.
Para fazer com que um servidor de impressão faça login em qualquer máquina, você pode usar o SpoolSample:
.\SpoolSample.exe <printmachine> <unconstrinedmachine>
Se o TGT for de um controlador de domínio, você pode realizar um ataque DCSync e obter todos os hashes do DC.
Mais informações sobre este ataque em ired.team.
Aqui estão outras maneiras de tentar forçar uma autenticação:
{% content-ref url="printers-spooler-service-abuse.md" %} printers-spooler-service-abuse.md {% endcontent-ref %}
Mitigação
- Limite os logins de DA/Admin a serviços específicos
- Defina "A conta é sensível e não pode ser delegada" para contas privilegiadas.
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- Você trabalha em uma empresa de segurança cibernética? Você quer ver sua empresa anunciada no HackTricks? ou quer ter acesso à última versão do PEASS ou baixar o HackTricks em PDF? Confira os PLANOS DE ASSINATURA!
- Descubra A Família PEASS, nossa coleção exclusiva de NFTs
- Adquira o swag oficial do PEASS & HackTricks
- Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-me no Twitter 🐦@carlospolopm.
- Compartilhe suas técnicas de hacking enviando PRs para o repositório hacktricks e hacktricks-cloud repo.