0x00 原理
用户想访问服务A,于是向KDC提交认证,KDC发现A是非约束性委派,于是会把TGT放在ST中一并给用户。然后用户用这个ST去访问服务A,服务A就相当于获得了用户的TGT,把TGT放入lsass进程,然后就可以拿着用户的TGT以用户的身份去访问所有用户权限能够访问的服务了。
0x01 非约束委派的启用
找到Active Directory用户和计算机->Computers。给域内机器WIN7配置非约束委派
右键属性->委派->信任此计算机来委派任何服务(仅Kerberos)(T)
补充:非约束委派与约束委派只能由域管理员用户设置,基于资源的约束委派不一定只能由域管理员用户设置。非约束委派的设置需要SeEnableDelegation
特权,该特权通常仅授予域管理员
同时注意域控主机默认是非约束性委派。
0x02 查找非约束委派机器
一、ldapsearch
该工具kali自带,适合在域外查询,当知道目标域控主机IP为10.0.0.12时,可以用以下命令查找域中配置非约束委派的用户:
ldapsearch -x -H ldap://10.0.0.12:389 -D "CN=redteam,CN=Users,DC=redteam,DC=lab" -w password -b "DC=redteam,DC=lab" "(&(samAccountType=805306368)(userAccountControl:1.2.840.113556.1.4.803:=524288))" |grep -iE "distinguishedName"
查找域中配置非约束委派的主机:
ldapsearch -x -H ldap://10.0.0