域滲透專題 非約束資源委派學習

2022-09-22 05:39:12 字數 3334 閱讀 3677

⽤戶 a 去訪問服務b,服務 b的服務賬戶開啟了⾮約束委派,那麼當⽤戶 a 訪問服務 b 的時候會將⽤戶 a 的tgt傳送給服務 b 並儲存進記憶體,服務 b 能夠利⽤⽤戶 a的身份去訪問⽤戶 a能夠訪問的任意服務。

⾮約束委派:當 user 訪問 service1 時,如果 service1 的服務賬號開啟了unconstrained delegation(⾮約束委派),則當 user 訪問 service1 時會將 user 的 tgt 傳送給 service1 並儲存在記憶體中以備下次重⽤,然後 service1 就可以利⽤這張 tgt 以 user 的身份去訪問域內的任何服務(任何服務是指 user 能訪問的服務)

建立乙個非約束委派賬戶,註冊spn

setspn -u -a mssqlsvc/mssql.tysec.top:1433 mi2ac1ee
miraclee使用者註冊spn

開啟委派

查詢域內的非約束委派使用者

可以看出mi2aclewww為非約束委派使用者

之後我們把這個web-2012也設定為非約束委派

需要說明,這裡是模擬的管理員訪問。真實情況下,可能需要等待很久管理員來訪問這台機器。不如利用0x04 印表機漏洞攻擊

域控上執行該命令

注入票據:

首先我將細緻的講解這一整塊的攻擊:

當域內某台機器啟用了非約束委派,那它就可以接受域內任意使用者的委派去請求域內任意服務。換句話講,當某個域使用者委託某台機器去代替訪問域內的某個服務時,被委託的機器會在收到該使用者tgt後快取到自己的lsass中,之後被委託的機器即可拿著這個tgt去模擬相應使用者請求相應服務。由此可知,一旦當我們搞定了啟用非約束委派的這台機器,就可以把所有委託該機器訪問指定服務的使用者的tgt都匯出來,而後再拿著這些tgt去模擬請求訪問指定域內服務。如果此時委託訪問的使用者裡有乙個是域管賬戶或域控機器賬戶,我們就很容易通過ptt操作來模擬請求訪問域控上的服務了,以此來變相獲取域控許可權。雖然實際環境中,想讓域管賬戶主動訪問啟用了非約束委派機器的可能性不太大,但可以利用msrprnrpc介面(注一些新系統可能預設

已修復此問題,但實際情況是絕大部分並沒有)強制域控向指定的啟用了非約束委派的域內機器進行身份驗證,如此一來可變相截獲域管tgt(注dc預設啟用非約束委派)

配置非約束委派使用者:

註冊spn:

配置:服務賬號

機器賬戶:

首先查詢非約束委派:

adfind.exe -b "dc=vulntarget,dc=com" -f "(&(samaccounttype=805306368)(useraccountcontrol:1.2.840.113556.1.4.803:=524288))" cn distinguishedname
以win2016本地管理員許可權啟動監聽:

強制觸發:

spool_sample_windows_x86.exe win2019 win2016
已經收到票據了:

可以看到這個票據是域控機器賬戶的

這一步我處理了一下,把原先的空格給替換了。

匯入票據:

dcsync

域滲透 Kerberoasting攻擊

一 spn介紹 服務主體名稱 spn service principal names 是服務例項,可以將其理解為乙個服務 比如 http mssql 的唯一識別符號,服務在加入域中時是自動註冊的。如果在整個林或域中的計算機上安裝多個服務例項,則每個例項都必須具有自己的 spn。如果客戶端可能使用多個...

域滲透之ldap協議

ldap light directory access protocal 是乙個基於x.500標準的輕量級目錄訪問協議,ldap是支援跨平台的internet協議,只需要通過ldap做簡單的配置就可以與伺服器做認證互動。可以大大降低開發的成本。windows active diretcory就是乙個...

CTF 域滲透 私鑰洩漏

1.檢視本機ip和網段 2.掃瞄本機網段,出現pcs 3.確定是否與靶場連通 1.資訊探測 nmap sv 192.168.31.217 2.通過瀏覽器檢視此ip開放的埠號為31337的http服務 3.檢視此網頁的源 4.對這個服務的隱藏檔案進行探測 5.開啟robots.txt檔案網頁 6.開啟...