在微軟官網得到的答案如下:
委派(delegation)身份驗證委派是允許服務模擬使用者帳戶或計算機帳戶以訪問整個網路中的資源的行為。當信任某項服務以進行委派時,該服務可以模擬使用者使用其他網路服務。
管理員可以指定乙個帳戶可以委派給的服務主體名稱(spn)。
委派是域中的一種安全設定,可以允許某個機器上的服務代表某個使用者去執行某個操作,主要分為三種:
1.非約束性委派
2.約束性委派
3.基於資源的約束性委派
如何設定委派參考:
1.實驗環境
嫌麻煩就直接用紅日的靶機來做,搭建參考我的另一篇文章:紅隊實戰(一)
windows2008r2
(域控)192.168.52.138
win7
(內)192.168.52.143 (外)192.168.147.133
2.建立非約束委派
檢視域內賬戶
進入域控,開啟ad使用者和計算機,檢視勾選高階功能
開啟域,開啟user,選擇委派
域中只有服務賬戶才能進行委派
普通賬戶是無法進行委派的
3.powerview查詢域中的非約束委派
powershell怎麼用參考我的另一篇文章:powershell學習
powerview查詢所在域:get-netdomain
powerview查詢配置非約束委派的賬戶:只能自己找get-netuser -unconstrained -domain 0day.org
powerview查詢配置的賬戶:get-netuser(同get-domainuser)
查詢配置非約束委派的主機(當服務賬戶或者主機被設定為非約束委派時候,useraccountcontrol屬性將包含trusted_for_delegation,約束性委派時,其useraccountcontrol屬性包含trusted_to_auth_for_delegation)get-domaincomputer -unconstrained -domain god.org
首先在建立非約束委派的機器上開啟winrm服務enter-pssession -computername 計算機名(之前查詢所見的samaccountname)進行連線此時域控委派(非約束賬戶)自己對自己進行操作使用管理員許可權的shell開啟mimikatz執行
sekurlsa::tickets /export命令即可匯出所有憑據到本地參考大佬文章:
憑據tgt是下面這個樣子的:
接著使用域管的憑據獲得域管的許可權
在mimikatz控制台中輸入如下命令:
kerberos::ptt tgt憑據的全名(如上圖所示,即[0;287142]開頭的kirbi檔案)之後如文章所示,得到許可權拿賬戶hash,破解hash去登陸域中的其他主機等安全技術 域滲透之SPN
kerberos 身份驗證使用 spn 將服務例項與服務登入帳戶相關聯。在內網中,spn掃瞄通過查詢向域控伺服器執行服務發現,可以識別正在執行重要服務的主機,如終端,交換機等。spn的識別是kerberoasting攻擊的第一步。本文由錦行科技的安全研究團隊提供,旨在通過對spn進行介紹,幫助大家深...
什麼是雙親委派機制?
雙親委派機制 雙親委派機制是指當乙個類載入器收到乙個類載入請求時,該類載入器首先會把請求委派給父類載入器。每個類載入器都是如此,只有在父類載入器在自己的搜尋範圍內找不到指定類時,子類載入器才會嘗試自己去載入。雙親委派模型工作工程 2.當extension classloader收到乙個類載入請求時,...
域滲透專題 非約束資源委派學習
戶 a 去訪問服務b,服務 b的服務賬戶開啟了 約束委派,那麼當 戶 a 訪問服務 b 的時候會將 戶 a 的tgt傳送給服務 b 並儲存進記憶體,服務 b 能夠利 戶 a的身份去訪問 戶 a能夠訪問的任意服務。約束委派 當 user 訪問 service1 時,如果 service1 的服務賬號開...