约束委派攻击

已于 2022-01-25 15:41:06 修改
阅读量4k 收藏 3
点赞数 1
分类专栏: 域渗透 文章标签: 安全
于 2022-01-25 12:17:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/blue_fantasy/article/details/122679165
版权
本文深入探讨了Kerberos约束委派的原理,包括S4U2Self和S4U2Proxy机制,以及如何设置和查找约束委派配置。约束性委派限制了服务代表用户访问特定服务的权限,提高了安全性。文章还介绍了攻击者如何利用明文密码或NTLM哈希,甚至直接从内存中获取TGT来模拟用户访问委派服务。
摘要由CSDN通过智能技术生成

0x00 原理

回顾

首先回顾一下什么是委派?

服务/用户

主机名

用户A

hostA

服务B

hostB

服务C

hostC

委派就是用户A委派主机hostB上的服务代表自己去访问了主机hostC上的服务C,委派需要提前在域控上进行配置,它可以理解成是一种权限。

约束性委派原理

由于⾮约束委派的不安全性(配置了⾮约束委派的机器在 LSASS 中缓存了⽤户的 TGT 票据可模拟⽤户去访问域中任意服务),微软在 Windows Server 2003 中引⼊了约束委派,对 Kerberos 协议进⾏拓展,引⼊了 S4U(S4U2Self / S4U2proxy), 这两个扩展都允许服务代表⽤户向 KDC 请求票据。

S4U2self (Service for User to S4U2Self) 可以代表自身请求针对其⾃身的 Kerberos 服务票据(ST);如果⼀个服务账户的 userAccountControl 标志TRUSTED_TO_AUTH_FOR_DELEGATION , 则其可以代表任何其他⽤户获取⾃身服务的 ST。

S4U2proxy (Service for User to Proxy) 可以以⽤户的名义请求其它服务的 ST【读完你会发现这就是前面我们回顾的委派的原理】,而约束委派则是限制了 S4U2proxy 扩展的范围。

约束性委派的大致流程:
用户访问开启约束性委派的服务A
(情况一:无S4U2Self 参与)首先需要经过KDC认证,KDC发现服务A开启了约束性委派,于是在TGS_REP截断返回给用户ST1(可转发ST),用户拿着ST1访问服务A,服务A先与KDC进行身份验证获得一个有效TGT,然后拿着ST1经过S4U2PROXY协议向KDC发起TGS_REQ,KDC返回ST2(用户身份的ST),然后服务A拿着ST2访问之前设置的只能被指定访问的服务。
(情况二:有S4U2Self 参与)用户通过其他方式(如NTLM认证,表单认证等)获取了服务A的信任,但是此时服务A并没有来自用户的ST1,按情况一中的流程,服务A就不能完成委派。所以这个时候服务A会以自己的身份向KDC发起申请获取一个可转发TGT(获取KDC信任࿰

最低0.47元/天 解锁文章
blue_fantasy
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
约束委派攻击原理与利用
越努力 越自由
04-11 7291
约束委派攻击主要利用了Windows域环境中的Kerberos协议及其扩展S4U(Service for User to Self和Service for User to Proxy)机制。约束委派是微软在Windows Server 2003中引入的一种安全机制,旨在限制服务账户在模拟用户时仅能访问特定的服务,而所有服务。这一机制通过Kerberos协议的S4U2Self和S4U2Proxy两个子协议实现。
约束委派攻击原理与利用
越努力 越自由
04-07 5435
在Kerberos认证体系中,用户通过票据(如TGT和ST)来访问服务。TGT(Ticket-Granting Ticket)是用户向密钥分发中心(KDC)请求并获得的,用于后续请求服务票据(ST)。ST则是用户访问特定服务时所需的票据。
域渗透委派攻击约束委派
qq_56426046的博客
11-13 909
(7) 如果请求中包含 PAC,则 KDC 通过检查 PAC 的签名数据来验证 PAC ,如果 PAC 有效或不存在,则 KDC 返回 ST2 给 service1,但存储在 ST2 的 cname 和 crealm 字段中的客户端身份是用户的身份,而不是 service1 的身份。不同于允许委派所有服务的约束委派约束委派的目的是在模拟用户的同时,限制委派机器/帐户对特定服务的访问。已知在约束委派的情况下,服务用户只能获取某个用户或者主机的服务ST,只能用模拟用户访问特定的服务,
[内网渗透]—约束委派攻击
Sentiment的博客
12-08 840
首先了解一下什么是委派委派即委托安排,我把这件事委托给你做了。域委派是指将域内用户的权限委派给服务账号,使得服务账号能以用户的权限在域内展开活动。
域内横向渗透-委派攻击约束委派攻击
m0_62783065的博客
09-24 259
域内横向渗透-委派攻击约束委派攻击原理,普通约束委派以及基于资源的约束委派
约束委派攻击
blue_fantasy的博客
01-20 3106
Text. 0x00 原理 用户想访问服务A,于是向KDC提交认证,KDC发现A是约束委派,于是会把TGT放在ST中一并给用户。然后用户用这个ST去访问服务A,服务A就相当于获得了用户的TGT,把TGT放入lsass进程,然后就可以拿着用户的TGT以用户的身份去访问所有用户权限能够访问的服务了。 0x01 约束委派的启用 找到Active Directory用户和计算机->Computers。给域内机器WIN7配置约束委派 右键属性->委派->信任此计算机来委派任何服
rbcd-attack:使用Impacket从外部进行基于Kerberos资源的约束委派攻击
04-01
此存储库是针对Windows Active Directory域中针对Kerberos资源的约束委派的实际攻击。 与其他常见实施方式的不同之处在于,我们是从Windows Domain外部发起攻击的,而不是从加入域的计算机(通常是Windows)发起的...
基于资源的约束委派攻击
越努力 越自由
04-13 2143
首先,在传统的约束委派中,情况是这样的:有一个服务账户(比如一个Web服务器),它被配置为可以代表某个用户(比如一个域用户)去访问另一个服务(比如数据库)。这就像是你给了你的秘书(服务账户)一张你的身份证(用户的凭证),让她去帮你办点事(访问数据库)。
滥用基于资源约束委派攻击Active Directory
weixin_30530523的博客
03-15 466
0x00 前言 早在2018年3月前,我就开始了一场毫无意义的争论,以证明TrustedToAuthForDelegation属性是无意义的,并且可以在没有该属性的情况下实现“协议转换”。我相信,只要一旦启用约束委派(msDS-AllowedToDelegateTo不为空),它是否配置为使用“仅Kerberos”或“任何身份验证协议”并起作用。 我在Benjamin Delpy(@genti...
基于AD Event日志监测约束委派攻击
02-06 259
01、简介  假设服务账号配置了到域控的约束委派,当攻击者获取了服务账号,可以作为变种黄金票据,用作后门权限维持。  基于AD Event日志监测msDS-AllowedToDelegateTo属性的修改,从而发现可疑的约束委派攻击。 02、利用方式 (1)通过powershell添加test用户到krbtgt的约束委派 Import-Module ActiveDirectory $user...
域控-笔记三(约束委派攻击约束委派攻击
5L2g556F5ZWl77yf
11-25 2859
文章目录一. 域委派1.1 域委派分类1.2 委派流程1.3 使用委派条件1.4 委派的一些原理二. 委派攻击2.1 约束委派攻击本地环境约束委派的查找 一. 域委派 1.1 域委派分类 约束委派(Unconstrained delegation) 服务账号可以获取被委派用户的TGT,并将TGT缓存到LSASS进程中,从而服务账号可使用该TGT,模拟用户访问任意服务。配置了约束委派的账户的userAccountControl 属性有个FLAG位 WORKSTATION_TRUSTED_FOR_DE
域内攻击 ----->约束&&约束委派攻击
最新发布
huohaowen的博客
05-25 940
首先,什么是委派呢?域委派是指将域内用户的权限委派给服务账户,使得服务账号能够以用户的权限在域内展开活动接着,什么样的对象才能被委派呢?主机账号:活动目中中的Computers组内的计算机,也被称为机器账号服务账号:域内用户的一种类型,是服务器运行服务时所用的账号。那么我们去域控上面看一看,顺便说一下本次实验环境后续实验环境皆在此基础上进行先来看机器账号,怎么查看域内的机器有几台呢?完了喜欢eason被你发现捏然后我们去域控上看,DEV和COMPUTERS这两个组。
域内渗透约束委派
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
09-20 2717
域渗透约束委派的利用
windows中关于委派(delegation)的理解
热门推荐
Shanfenglan's blog
09-24 17万+
CATALOG前言委派一些问题S4U2SELF延伸S4U2PROXY约束委派约束委派基于资源的约束委派基于委派攻击约束委派攻击约束委派攻击基于资源的约束委派攻击 前言 委派一般出现在域环境中。它是一种机制,在kerberos认证的时候会涉及到。不正确的委派的配置,可能使攻击者达到提权的目的。 委派 假设域内用户A需要访问服务器B,并需要以A的身份对服务器的端数据库进行更改。则A就会进行一个kerberos认证,来获取访问B的ticket。这时候就需要用到委派,也就是说,A依旧访问B且只申请一个访
Kerberos 域委派攻击约束委派
Adminxe的博客
03-06 435
CSDN自动博客文章迁移由于约束委派的不安全性,微软在 Windows Server 2003 中引入了约束委派区别在于不会直接把 TGT 给服务,所发送的认证信息中包含了允许访问的服务,即不允许服务代表用户去访问其他服务。同时为了在 Kerberos 协议层面对约束委派的支持, 微软扩展了两个子协议:S4U2SelfS4U2ProxyS4U2Self可以代表自身请求针对其自身的 Kerberos 服务票据STS4U2Proxy。
内网横向移动—约束委派&约束委派
剁椒鱼头没剁椒的博客
08-01 796
在Windows 2000 Server首次发布Active Directory时,Microsoft必须提供一种简单的机制来支持用户通过kerberos向web server进行身份验证并需要代表该用户更新后端数据库服务器上的记录的方案。这通常称为"kerberos双跳问题",并且要求进行委派,以便web server在修改数据库记录时模拟用户。
基于资源的约束委派(RBCD)学习
whojoe的博客
07-21 3119
基于资源的约束委派(RBCD)学习原理环境搭建利用添加机器账户中继&委派无另一台机器权限有另一台机器权限参考文章 原理 环境搭建 主机 机器名 ip 用户 密码 版本 域控 ad.test.com 192.168.164.147 administrator Aa1234 win2012r2 域内机器 user.test.com 192.168.164.129 user1 Uu1234. win2008r2 域内机器 user2.test.com 192.168.164.150
Windows域委派攻击详解:约束委派的威胁
"这篇文档详细解释了AD域内的委派后门,特别是约束委派攻击,这是攻击者获取域管理员权限的一种途径。文中提到了Windows系统中只有服务账号和主机账号具有委派功能,而普通用户默认不具备此权限。文章着重介绍了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值