服务帐户与应用程序本身相关联,而不是与单个最终用户相关联。 与用户帐号的不同之处在于,服务帐号不是Google Workspace域的成员。...全域委派的工作机制 如需使用全域委派功能,需要按照一下步骤设置和执行操作: 1、启用全域委派:Google Workspace超级用户为服务帐号授予全域委派权限,并设置可以访问的OAuth范围集合。...其中包括服务帐户的客户端ID和客户端密钥,以及访问用户数据所需的范围。...如果请求有效并且服务帐户已被授予必要的全域委派权限,则令牌节点将使用访问令牌进行响应,应用程序可以使用此访问令牌在请求的范围限制内跨域访问用户数据; 3、API访问:应用程序在 API 请求中包含访问令牌作为身份认证...“Google Workspace管理员已启用对GCP服务帐户的全域委派,并授予其对敏感范围的访问权限”警报: 缓解方案 为了缓解潜在的安全风险问题,最佳的安全实践是将具备全域委派权限的服务账号设置在GCP
Samba服务的使用|Linux系统课堂笔记 一个课堂小记, 主要是之前windows的横向sm系列有多个漏洞, 而今天正好上课讲了Samba服务记一下笔记 Samba服务器的主要功能 (1)共享Linux...(2)共享安装在Samba服务器上的打印机。 (3)支持Windows客户使用“网上邻居”浏览网络。...Samba服务的主配置文件 Samba服务的主配置文件存放在/ctc/samba目录中,其文件名为smb.conf,该文件是Samba服务器的核心,Samba服务器大部分的功能和配置都在其中。...配置文件的格式为: 配置参数选项=参数值 \\默认使用的是NetBIOS协议, Samba服务是支持NetBIOS协议的 修改主配置文件/etc/samba/smb.conf 添加创建一个共享/home...(3) Server:由一台服务器负责验证账户及口令的工作。 (4)Domain:指定WindowsNT /2000域控制服务器验证用户帐号及口令。 2022_09_30 12:00
需要的条件: 此攻击需要使用DC的ntdsutil来修改DSRM账户的密码。 1.1 直接修改DSRM 帐户的密码 1.2 域帐户同步的方式来修改 需要修改DSRM的登录方式。...1:只有当本地AD、DS服务停止时,才可以使用DSRM管理员账号登录域控。 2:在任何情况下,都可以使用DSRM管理员账号登录域控。...利用方式 主要有两种方法: 配置机器帐户到krbtgt帐户基于资源的约束委派 配置机器帐户到域控基于资源的约束委派 实际操作 配置机器帐户到krbtgt帐户基于资源的约束委派,使用的工具模块为 Powerview...: 值得注意的是,基于资源的委派,必须是委派双方需资源,例如机器帐户,服务帐户什么的,不能是域用户,下面尝试使用设置域用户帐户设置基于资源的委派,发现能设置,但是实际上是用不了 获取test1域用户的sid...krbtgt帐户基于资源的约束委派,步骤相同,只需要把test1改成机器帐户,或者服务帐户 这里就能成功请求到票据了 这里就有DCSync的权限了,但如果要访问域空,那么krbtgt就得改成域控的机器帐户名了
不得信任特权帐户(例如属于任何管理员组的帐户)进行委派。允许信任特权帐户进行委派提供了一种方法......及时复制可确保目录服务数据在支持相同客户端数据范围的所有服务器之间保持一致。在使用 AD 站点的 AD 实施中,域......作为系统管理员的人员必须仅使用具有必要最低权限级别的帐户登录域系统。只有系统管理员帐户专门用于... V-36433 中等的 管理员必须拥有专门用于管理域成员服务器的单独帐户。...作为系统管理员的人员必须仅使用具有必要最低权限级别的帐户登录域系统。只有系统管理员帐户专门用于... V-25840 中等的 目录服务还原模式 (DSRM) 密码必须至少每年更改一次。...V-8521 低的 具有委派权限的用户帐户必须从 Windows 内置管理组中删除或从帐户中删除委派权限。 在 AD 中,可以委派帐户和其他 AD 对象所有权和管理任务。
由于服务 SID 与您使用虚拟服务帐户时使用的名称相同,因此很明显问题出在此功能的实现方式上,并且可能与创建 LS 或 NS 令牌的方式不同。...查看 SCM 中的实现,这基本上使用了与创建用于启动服务的令牌完全相同的代码。 这就是为什么 LS/NS 和使用 Clément 技术的虚拟服务帐户之间存在区别的原因。...只有 SCM(从技术上讲是声称它是 SCM 的第一个进程)被允许使用虚拟服务帐户对令牌进行身份验证。...接下来,它检查主体的用户 SID 是否与我们设置的匹配。这将允许 NS/LS 或虚拟服务帐户指定作为他们自己的用户帐户运行的任务。 ...但是,只要您的帐户被授予对服务的完全访问权限,即使不是管理员,您也可以使用任务计划程序来让代码以服务的用户帐户(例如 SYSTEM)的身份运行,而无需直接修改服务的配置或停止/启动服务。
意思就是被域控进行非约束委派的域成员主机获得全部权限,并且该可以同样的可以进非约束委派至其他域成员主机 约束委派(Constrained Delegation)是指将用户或计算机帐户的部分权限授予另一个用户或计算机帐户...,并限制该帐户只能将授权限委派给特定的服务。...这意味着该帐户无法将委派权限向下传递给其他服务,因此更加安全。 总的来说,如果需要在Windows环境中使用委派功能,建议使用约束委派而不是非约束委派,以提高系统和数据的安全性。...利用场景: 如果攻击者控制了服务A的账号,并且服务A配置了到域控的CIFS服务的约束性委派。...则攻击者可以先使用S4u2seflt申请域管用户(administrator)访问A服务的ST1, 然后使用S4u2Proxy以administrator身份访问域控的CIFS服务,即相当于控制了域控
委派相关 下面这几个是与委派相关的查询命令。 (1) 非约束性委派 如下命令是查询配置了非约束性委派的主机和服务帐户。...:1.2.840.113556.1.4.803:=524288))" -dn 如图所示,可以看到查询出配置了非约束性委派的主机和服务帐户。...(2) 约束性委派 如下命令是查询配置了约束性委派的主机和服务帐户。...=805306368)(msds-allowedtodelegateto=*))" msds-allowedtodelegateto 如图所示,可以看到查询出配置了约束性委派的主机和服务帐户。...(3) 基于资源的约束性委派 如下命令是查询配置了基于资源的约束性委派的主机和服务帐户。
在进行了仔细分析之后,我们把注意力放在了一台更有“价值”的服务器上。这台服务器之所以“有价值”,是因为拥有高等级权限的网络管理员需要使用这台服务器来执行管理员任务。...不过幸运的是,客户的活动目录在安装和配置时使用的是多个高等级权限的服务账号,而且涉及到域中的多台服务器。这些域服务账号使用了账号凭证来实现登录认证。...Windows会在注册表HKLM:\Security\Policy\Secrets中为每一个服务的域服务账号服务账号存储一个加密后的凭证在lsadump::secrets module(Mimikatz...接下来,我们的主要问题就变成了如何找出目标域服务账号下运行了那些服务组件:我们是对每一个系统手动运行mimikatz,还是在收集到系统信息和注册表键内容后在线下执行分析?...不过我们得承认,这款工具只适用于这种特定情况,在其他特殊情况下该工具可能无法完成你所要求的任务。但不管怎样,它都能够帮助你远程扫描出整个目标域中域服务凭证的明文文本信息,这一点还是非常有用的。
S4U2proxy(Service for User to Proxy) 可以以用户的名义请求其它服务的 ST,限制了 S4U2proxy 扩展的范围。...服务帐户可以代表任何用户获取在 msDS-AllowedToDelegateTo 中设置的服务的 TGS/ST,首先需要从该用户到其本身的 TGS/ST,但它可以在请求另一个 TGS 之前使用 S4U2self...不同于允许委派所有服务的非约束委派,约束委派的目的是在模拟用户的同时,限制委派机器/帐户对特定服务的访问。 S4U2self: (1) 用户向 service1 发送请求。...此外,我们不仅可以访问约束委派配置中用户可以模拟的服务,还可以访问使用与模拟帐户权限允许的任何服务。(因为未检查 SPN,只检查权限)。...基于资源的约束委派不需要域管理员权限去设置,而把设置属性的权限赋予给了机器自身。 基于资源的约束性委派允许资源配置受信任的帐户委派给他们。
则验证了对方的真实身份,同时还会验证时间戳是否在范围内。...ST服务票据使用注册了所要求的 SPN 的帐户的NTLM哈希进行加密, 并使用攻击者和服务帐户共同商定的加密算法。ST服务票据以服务票据回复(TGS-REP)的形式发送回攻击者。...4.攻击者从 TGS-REP 中提取加密的服务票证。由于服务票证是用链接到请求 SPN 的帐户的哈希加密的,所以攻击者可以离线破解这个加密块,恢复帐户的明文密码。...基于资源的约束委派不需要域管理员权限去设置,而把设置属性的权限赋予给了机器自身。基于资源的约束性委派允许资源配置受信任的帐户委派给他们。...2.约束性委派流程 前提:在服务A上配置到服务B约束性委派(域管理员才有权限配置) 1.用户访问服务A,于是向域控进行kerberos认证,域控返回ST1服务票据给用户,用户使用此服务票据访问服务A
Google挺够意思,就提供了jQuery库,通过使用Google提供的jQuery库,Google的服务器和线路品质那自然是不在话下的。即提高了下载速度又减少了自己服务器的并发连接数。...用起来也很简单,直接在网页里引用Google服务器上的相关js文件就可以了。不过,如果引用多个js,就要插入多段的script。Google也提供了相应的办法,那就是google load。...,可以这样使用: google.load("jquery","1.3.2"); 这样我们就从Google的最近的CDN镜像上加载了jQuery 1.3.2版的js库,接下来就可以正常写js代码了。...不过,即使是Google的CDN镜像,下载也毕竟是需要时间的,万一代码库还没有下载完而浏览器已经解释到了下面的代码了怎么办?...我们可以设定在js库加载完以后才开始执行js: google.setOnLoadCallback(function(){//要执行的代码}); 更多有关google jsapi的相关介绍和文档,
委派是域中的一种安全设置,可以允许某个机器上的服务代表某个用户去执行某个操作,在域中只有机器帐户何服务帐户拥有委派属性,也就是说只有这两类帐户可以配置域委派,分为三种: 非约束委派 约束委派 基于资源的约束性委派...非约束委派 用户A去访问服务B,服务B的服务帐户开启了非约束委派,那么用户A访问服务B的时候会将A的TGT转发给服务B并保存进内存(LSASS缓存了TGT),服务B能够利用用户A的身份去访问用户A能够访问的任意服务....配置了非约束委派的帐户userAccountControl属性会设置TRUSTED_FOR_DELEGATION标志位....(13)此处描述的 TGT 转发委派机制不限制 Service 1 使用转发的 TGT。Service 1 可以以用户的名义向 KDC 索要任何其他服务的票据。...设置约束委派 设置域机器WIN7-PC约束委派,设置对DC的CIFS服务进行委派 设置委派的机器用户或者服务用户的userAccountControl属性会设置TRUSTED_TO_AUTH_FOR_DELEGATION
,将返回所有具有关联服务主体名称的用户帐户,也就是将返回所有SPN注册在域用户下的用户。...值得注意的是,使用nslookup的时候,DNS服务器必须是内部DNS,否者是查询不到记录的,因为域控服务器只会向内部DNS服务器注册这个记录。.../tmp/domain-admin.txt 另外,你可以使用下面的命令来获得当前登录用户的列表 Sessions –s loggedin 收集所有域用户hash 域用户帐户以域数据库的形式保存在活动目录中...)发送到DC的打印服务器 DC响应包中就会有域控的TGT 2.约束委派攻击方法: 服务用户只能获取某个用户(或主机)的服务的ST,所以只能模拟用户访问特定的服务,是无法获取用户的TGT,如果我们能获取到开启了约束委派的服务用户的明文密码或者.../COMPUTER01.test.com /pipe:\\COMPUTER01.test.com\pipe\kekeo_tsssp_endpoint 这里使用的参数为域内计算机帐户对应的SPN。
所需权限 配置无约束委派和约束委派需要 SeEnableDelegation 权限,默认情况下,该权限仅授予域管理员。...在完全修补的环境中,仅允许域管理员配置冲突的 SPN,这意味着 SPN 与两个或多个不同的帐户相关联。...然后,攻击者可以使用 ServerA 的帐户运行完整的 S4U 攻击,以获取到 ServerC 的特权用户的服务票证。 与前面的场景一样,该票证的服务名称对于访问 ServerC 无效。...如果攻击者破坏了对计算机帐户具有 GenericAll 或 GenericWrite 权限的帐户,则攻击者可以使用 RBCD 或 Shadow Credentials 破坏关联的主机或服务。...我怀疑破坏仅对计算机帐户具有 WriteSPN 权限的帐户的可能性不大。但是,与已经配置了约束委派的主机的危害相联系,攻击者可以在监视或阻止 RBCD 和影子凭据的环境中使用此技术。
前言 域委派是指将域内用户的权限委派给服务账户,使得服务账号能够以用户的权限在域内展开活动。...1.这是需要配合域控上的打印机服务,值得注意的事Print Spooler服务默认是自动运行的 2.还得是一台主机账户并且开启了非约束委派域内机器的权限 #注:是主机账户开启非约束委派,而不是服务用户...扩展的范围。...这里已经把票据请求出来了,就不用再去ask请求TGT票据了 3.基于资源的委派: Kerberos委派虽然有用,但本质上是不安全的,因为对于可以通过模拟帐户可以访问哪些服务没有任何限制,那么模拟帐户可以在模拟帐户的上下文中访问多个服务...2.默认域控的ms-DS-MachineAccountQuota属性设置允许所有域用户向一个域添加多达10个计算机帐户,就是说只要有一个域凭据就可以在域内任意添加机器账户。 ? END ? ?
MIC是使用会话密钥应用于所有3个NTLM消息的串联的HMAC_MD5,该会话密钥仅对启动认证的帐户和目标服务器是已知的。...(因为任何经过身份验证的用户都可以触发SpoolService反向连接) 漏洞利用攻击链 1.使用域内任意帐户,通过SMB连接到被攻击ExchangeServer,并指定中继攻击服务器。...攻击者帐户使用DCSync转储AD域中的所有域用户密码哈希值(包含域管理员的hash,此时已拿下整个域)。...(因为任何经过身份验证的用户都可以触发SpoolService反向连接) 漏洞利用攻击链 1.使用域内任意帐户,通过SMB连接到被攻击域控服务器,并指定中继攻击服务器。...3.使用中继的LDAP身份验证,将受害者服务器的基于资源的约束委派权限授予攻击者控制下的计算机帐户。 4.攻击者现在可以作为AD服务器上的任意用户进行身份验证。包括域管理员。
中继服务器 该Exch_EWS_pushSubscribe.py要求域凭据和妥协帐户的域和中继服务器的IP地址。 ?...电子邮件自动转发 已通过使用NTLM中继对Exchange进行身份验证,为目标帐户创建了一条规则,该规则将所有电子邮件转发到另一个收件箱。这可以通过检查目标帐户的收件箱规则来验证。 ?...规则 - 转发管理员电子邮件 0x02:委托访问 如果Microsoft Exchange用户具有分配的必要权限,则可以将其帐户(Outlook或OWA)连接到其他邮箱(委派访问权限)。...打开另一个邮箱 - 没有权限 有一个python 脚本利用相同的漏洞,但不是添加转发规则,而是为帐户分配权限以访问域中的任何邮箱,包括域管理员。...权限提升脚本 - 委派完成 需要使用Outlook Web Access进行身份验证才能查看委派的邮箱。 ?
而这也是我们将本文中讨论的内容 委派介绍 Kerberos委派使服务能够模拟计算机或用户以便使用用户的特权和权限参与第二个服务,为什么委派是必要的经典例证呢,例如:当用户使用Kerberos或其他协议向...web服务器进行身份验证时,服务器希望与SQL后端或文件服务器进行交互 Kerberos委托的类型: 不受限制的委托 受约束的委托 RBCD(基于资源的受限委派) SPN介绍 Kerberos身份验证使用...SPN将服务实例与服务登录帐户相关联,这允许客户端应用程序请求服务对帐户进行身份验证,即使客户端没有帐户名 无约束委派 该功能最初出现在Windows Server 2000中,但为了向后兼容它仍然存在...,如果用户请求在具有不受约束的委托的服务器集上的服务的服务票据时,该服务器将提取用户的TGT并将其缓存在其内存中以备后用,这意味着服务器可以冒充该用户访问域中的任何资源 在计算机帐户上,管理员可以为不受限制的委派设置以下属性...TGT并将它们存储在缓存中 这个TGT可以代表经过身份验证的用户访问后端资源 代理系统可以使用这个TGT请求访问域中的任何资源 攻击者可以通过使用用户委派TGT请求任何域服务(SPN)的TGS来滥用不受限制的委派
服务器)上设置无约束委派,以允许它代表用户委派域中的任何服务(针对后端服务,例如 MSSQL 数据库)。...受限制的委派 可以在前端服务器(例如 IIS)上设置约束委派,以允许它代表用户仅委派给选定的后端服务(例如 MSSQL)。...此属性包含允许在其上使用的 SPN s4u2proxy,即基于现有 TGS(通常是使用 获得的s4u2self)为该服务器请求可转发 TGS 。这有效地定义了允许约束委派的后端服务。...这意味着前端服务需要设置一个 SPN。因此,必须从具有 SPN 的服务帐户或机器帐户执行针对 RBCD 的攻击。...如果此操作成功,则可以收集 SQL 服务帐户的 NetNTLM,并可能破解或中继以破坏作为该服务帐户的计算机。
基于资源的约束委派不需要域管理员权限去设置,而把设置属性的权限赋予给了机器自身。基于资源的约束性委派允许资源配置受信任的帐户委派给他们。...3.诱导域管对我们这台机器进行委派(通过使用钓鱼或者打印机哪个漏洞)。...基于资源的约束委派不需要域管理员权限去设置,⽽把设置属性的权限赋予给了机器⾃身--基于资源的约束性委派允许资源配置受信任的帐户委派给他们。...那么这就代表我们如果拥有一个普通的域用户那么我们就可以利用这个用户最多可以创建十个新的计算机帐户也就是机器账户。...基于资源的委派攻击 首先先登录刚才创建的join用户 1、查找可以攻击的目标 假设我们拿到一个域用户的帐户,我们想要进行基于资源的委派攻击,首先要先查看一下当前账户可以修改谁的msDS-AllowedToActOnBehalfOfOtherIdentity
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
腾讯会议
云直播
对象存储
