Windows Server 2012中引入了基于资源的约束性委派。只能在运行Windows Server 2012或Windows Server 2012 R2及以上的域控制器上配置
基于资源的约束性委派,不需要域管理员前来设置,而把设置委派的权限交给了自身。
其实就是可以摆脱域控来主动设置自己可以被哪些账户委派访问。
非约束性委派有巨大的安全问题,上面我们说过,非约束性委派的实质就是把用户的TGT存入lassa进程,从而模拟用户身份进行各种委派访问,所以我们只需控制非约束性委派攻击的机器,然后dump出所有的票据,就相当于获得了所有经过该服务进行约束性委派的用户的身份了。
1.进行非约束性委派账户扫描这里提一下怎么创建有SPN的服务账户。
只需再域控里执行 setspn -U -A spn_type username 即可
其中spn_type即SPN的格式:MSSQLSvc/:[ | ]
- MSSQLSvc 是要注册的服务。
- 是服务器的完全限定域名。
- 是 TCP 端口号。
- 是 SQL Server 实例的名称。
这里我们随便输一个,比如 sb/caonima 这种都行.
这里采用powersploit下的powerview.ps1
根据我网上很多搜索结果,查找非约束委派服务账户只需调用
Get-NetUser -Unconstrained -Domain de1ay.com
这个命令即可,但是我下载下来的powerview里的get-netuser里却没有unconstrained参数,很烦。所以用一个比较原始的方法来判别(适合在用户少的情况下)
直接调用 Get-NetUser -SPN 找到所有服务账户或者Get-domaincomputer找到所有机器账户,然后判断其useraccountcontrl里有没有trusted_for_delegation,若有,则说明开启了非约束性委派
查询非约束委派机器账户则用
Get-domaincomputer -unconstrained -domain const.com
仅能基于机器账户
如果我们获得了一个非约束性委派账户,我们就可以通过收集内存中的tgt达到任意用户访问的目的。
在被控制的非约束性委派机器上使用mimikatz。
privilege::debug提权
sekurlsa::tickets 查看本机所有票据
通过以上命令获取票据,如果管理员访问了本机的一些服务,那么它的TGT就会被截获放入内存。
我们模拟管理员调用非约束性委派机的smb服务
我们回到非约束委派机,查看票据
