⽤戶 a 去訪問服務b,服務 b
的服務賬戶開啟了⾮約束委派,那麼當⽤戶 a 訪問服務 b 的時候會將⽤戶 a 的tgt
傳送給服務 b 並儲存進記憶體
,服務 b 能夠利⽤⽤戶 a
的身份去訪問⽤戶 a
能夠訪問的任意服務。
⾮約束委派:當 user 訪問 service1 時,如果 service1 的服務賬號開啟了unconstrained delegation(⾮約束委派),則當 user 訪問 service1 時會將 user 的 tgt 傳送給 service1 並儲存在記憶體中以備下次重⽤,然後 service1 就可以利⽤這張 tgt 以 user 的身份去訪問域內的任何服務(任何服務是指 user 能訪問的服務)建立乙個非約束委派賬戶,註冊
spn
setspn -u -a mssqlsvc/mssql.tysec.top:1433 mi2ac1ee
為miraclee
使用者註冊spn
開啟委派
查詢域內的非約束委派使用者
可以看出mi2aclewww為非約束委派使用者之後我們把這個web-2012也設定為非約束委派
需要說明,這裡是模擬的管理員訪問。真實情況下,可能需要等待很久管理員來訪問這台機器。不如利用0x04 印表機漏洞攻擊域控上執行該命令
注入票據:
首先我將細緻的講解這一整塊的攻擊:配置非約束委派使用者:當域內某台機器啟用了
非約束委派
,那它就可以接受域內任意使用者的委派去請求域內任意服務。換句話講,當某個域使用者委託某台機器去代替訪問域內的某個服務時,被委託的機器會在收到該使用者tgt後快取到自己的lsass中,之後被委託的機器即可拿著這個tgt去模擬相應使用者請求相應服務。由此可知,一旦當我們搞定了啟用非約束委派的這台機器,就可以把所有委託該機器訪問指定服務的使用者的tgt都匯出來,而後再拿著這些tgt去模擬請求訪問指定域內服務。如果此時委託訪問的使用者裡有乙個是域管賬戶或域控機器賬戶,我們就很容易通過ptt操作來模擬請求訪問域控上的服務了,以此來變相獲取域控許可權。雖然實際環境中,想讓域管賬戶主動訪問啟用了非約束委派機器的可能性不太大,但可以利用msrprnrpc介面(注一些新系統可能預設已修復此問題,但實際情況是絕大部分並沒有)強制域控向指定的啟用了非約束委派的域內機器進行身份驗證,如此一來可變相截獲域管tgt(注dc預設啟用非約束委派)
註冊spn:
配置:服務賬號
機器賬戶:
首先查詢非約束委派:
以win2016本地管理員許可權啟動監聽:adfind.exe -b "dc=vulntarget,dc=com" -f "(&(samaccounttype=805306368)(useraccountcontrol:1.2.840.113556.1.4.803:=524288))" cn distinguishedname
強制觸發:
已經收到票據了:spool_sample_windows_x86.exe win2019 win2016
可以看到這個票據是域控機器賬戶的
這一步我處理了一下,把原先的空格給替換了。
匯入票據:
dcsync
域滲透 Kerberoasting攻擊
一 spn介紹 服務主體名稱 spn service principal names 是服務例項,可以將其理解為乙個服務 比如 http mssql 的唯一識別符號,服務在加入域中時是自動註冊的。如果在整個林或域中的計算機上安裝多個服務例項,則每個例項都必須具有自己的 spn。如果客戶端可能使用多個...
域滲透之ldap協議
ldap light directory access protocal 是乙個基於x.500標準的輕量級目錄訪問協議,ldap是支援跨平台的internet協議,只需要通過ldap做簡單的配置就可以與伺服器做認證互動。可以大大降低開發的成本。windows active diretcory就是乙個...
CTF 域滲透 私鑰洩漏
1.檢視本機ip和網段 2.掃瞄本機網段,出現pcs 3.確定是否與靶場連通 1.資訊探測 nmap sv 192.168.31.217 2.通過瀏覽器檢視此ip開放的埠號為31337的http服務 3.檢視此網頁的源 4.對這個服務的隱藏檔案進行探測 5.開啟robots.txt檔案網頁 6.開啟...