由于服务票证是用链接到请求 SPN 的帐户的哈希加密的,所以攻击者可以离线破解这个加密块,恢复帐户的明文密码。...一个域内普通用户jack通过Kerberos协议认证到前台WEB服后,前台运行WEB服务的服务账号websvc模拟(Impersonate)用户jack,以Kerberos协议继续认证到后台服务器,从而在后台服务器中获取...非约束委派和约束委派的流程 1.非约束委派流程 前提:在机器账号B上配置了非约束性委派(域管理员才有权限配置) 1.用户访问机器B的某个服务,于是向KDC认证。...2.约束性委派流程 前提:在服务A上配置到服务B约束性委派(域管理员才有权限配置) 1.用户访问服务A,于是向域控进行kerberos认证,域控返回ST1服务票据给用户,用户使用此服务票据访问服务A...创建域用户test然后赋予SPN ? 然后在域控上配置test用户到krbtgt用户的约束性委派。
本文作者:time(Ms08067内网安全小组成员) 委派 A 使用 kerberos 身份访问验证服务 B,B 利用 A 的身份去访问服务器 C,此过程就是委派。 ?...Service1 在步骤 3 使用模拟用户申请的 ST1 完成与用户的验证,然后响应用户。...Service1响应用户的请求。 域内发现委派用户 非约束委派 通过 Import-ModulePowerView.ps1 加载 PowerView 脚本之后使用下面的命令进行查询。...--Domainyunying.lab 非约束委派利用 域内只有服务账户才可以委派功能,设置用户为服务账户 setspn -U -Avariant/golden 用户 setspn -l 用户 当任意用户来访问时服务时...利用 pooler 打印机服务 ,强制域控向其该服务器认证获得 TGT https://github.com/leechristensen/SpoolSample 参考链接: https://www.freebuf.com
Kerberos 委托入门 Kerberos 委托是一种允许服务模拟用户到其他服务的机制。例如,用户可以访问前端应用程序,而该应用程序又可以使用用户的身份和权限访问后端 API。...Kerberos 委派有三种形式:无约束委派、约束委派和基于资源的约束委派 (RBCD)。 无约束委派 无约束委派要求用户将他们的票证授予票证 (TGT) 发送到前端服务(服务器 A)。...然后前端服务可以使用该票证来模拟用户使用任何服务,包括后端服务(服务器 B)。...约束委派 约束委派允许前端服务(服务器 A)为用户获取 Kerberos 服务票证,以访问由其服务主体名称 (SPN) 指定的预定义服务列表,例如后端服务服务器 B。...请注意,约束委派允许服务凭空模拟用户,无论他们是否通过服务验证。许多人认为这取决于 TrustedToAuthForDelegation 属性的配置。
委派 委派(Delegation)是一种让用户可以委托服务器代表自己与其他服务进行验证的功能,它允许服务账户在活动目录中模拟其他域用户身份,主要用于当服务需要以某个用户的身份来请求访问其他服务资源的场景...委派分为无约束委派,传统的约束委派以及基于资源的约束委派。 无约束委派(Unconstrained Delegation)是一种风险性极大的委派方式,它通过TGT转发使服务器具有模拟用户的能力。...S4U2Proxy (约束委派): 为了方便理解,本文在此假设A为IIS Web Server,B为SQL Server,A需要使用数据库B以支撑用户访问。...Response 建立会话连接的请求中客户端向服务器提供了Kerberos认证方式,服务端接收并采用了MS KRB5的认证方式,使得用户可以直接以域用户身份与域控制器进行验证。...Powershell Remoting通过委派用户凭证的方式使用户在远程计算机上执行任务,本质上却是远程计算机模拟用户进行操作,如果该计算机并没有被配置委派,登录到Powershell会话中的用户无则法再次使用自己凭证请求访问其他远程计算机
前言 域委派是指将域内用户的权限委派给服务账户,使得服务账号能够以用户的权限在域内展开活动。...攻击与利用方式 查找域内配置非约束委派的主机和用户: ? ?...这里已经把票据请求出来了,就不用再去ask请求TGT票据了 3.基于资源的委派: Kerberos委派虽然有用,但本质上是不安全的,因为对于可以通过模拟帐户可以访问哪些服务没有任何限制,那么模拟帐户可以在模拟帐户的上下文中访问多个服务...基于资源的约束委派,顾名思义,现在是要被访问的资源来决定我信任谁,而不是模拟账户本身 区别:它不再需要域管理员对其进行配置,可以直接在机器账户上配置msDS-AllowedToActOnBehalfOfOtherIdentity...(此属性的作用是控制哪些用户可以模拟成域内任意用户,然后向该计算机进行身份验证) 传统的约束委派:在ServiceA的msDS-AllowedToActOnBehalfOfOtherIdentity属性中配置了对
:参考Y4er jack需要登陆到后台文件服务器,经过Kerberos认证的过程如下: jack以Kerberos协议认证登录,将凭证发送给websvc websvc使用jack的凭证向KDC发起Kerberos...利用方式1 使域管理员访问被控机器 找到配置了非约束委派的机器(机器账户) 并且获取了其管理员权限 这里利用WEB演示 直接用administrator登录 把mimikatz传上去 先查看本地票据...约束性委派和基于资源的约束性委派配置的差别 传统的约束委派是正向的,通过修改服务A的属性msDS-AlowedToDelegateTo,添加服务B的SPN,设置约束委派对象(服务B),服务A便可以模拟用户向域控制器请求访问服务...many加入域 用的是域控 就重新设置一下机器 先脱域 然后重新加入 然后委派这些也都删除 查询把WEB加入域的用户 将主机加入域的用户(账户中有一个mSDS-CreatorSID属性...many WEB是被many加入域的 利用方式1:基于资源的约束委派攻击本地提权 实验环境中 如果获取到了many的权限 就可以用这个用户的权限进行本地提权了 利用many域用户创建一个机器账户(每个域用户默认可以创建
服务器)上设置无约束委派,以允许它代表用户委派域中的任何服务(针对后端服务,例如 MSSQL 数据库)。...受限制的委派 可以在前端服务器(例如 IIS)上设置约束委派,以允许它代表用户仅委派给选定的后端服务(例如 MSSQL)。...这有效地允许服务仅使用他们的哈希来模拟域中的其他用户,并且在用户和前端之间未使用 Kerberos 的情况下非常有用。 DACL 属性:msDS-AllowedToDelegateTo....基于资源的约束委派 (RBCD) 将后端服务器(例如 MSSQL)配置为仅允许选定的前端服务(例如 IIS)代表用户进行委派。...这使得特定服务器管理员可以更轻松地配置委派,而无需域管理员权限。 DACL 属性:msDS-AllowedToActOnBehalfOfOtherIdentity.
Delegation)即 Kerberos 的扩展协议 S4U2Proxy,服务账号只能获取某用户的 TGS ,从而只能模拟用户访问特定的服务,这也相对应非约束委派更安全一些。...约束委派攻击原理及利用 由于非约束委派的不安全性(配置了非约束委派的机器在 LSASS 中缓存了用户的 TGT 票据可模拟用户去访问域中任意服务),微软在 Windows Server 2003 中引入了约束委派...小提示 如果我们可以攻破配置约束委派的服务账户(获取密码/Hash),我们就可以模拟域内任意用户(如 domain\administrator) 并代表其获得对已配置服务的访问权限(获取 TGS 票据)...此外,我们不仅可以访问约束委派配置中用户可以模拟的服务,还可以访问使用与模拟帐户权限允许的任何服务。(因为未检查 SPN,只检查权限)。...服务账号(Service Account),域内用户的一种类型,服务器运行服务时所用的账号,将服务运行起来并加入域。
HTTP服务,需再访问S3主机上的SQL数据库,但S2并不知道域用户是否拥有权限访问S3上的数据库服务权限,这时为了验证权限,S2会带着User的访问权限去申请访问SQL数据库,若User拥有权限才可进行访问...非约束委派 非约束委派Kerberos中实现时,User会将自KDC拿到的TGT发送给访问的服务机器Service1,Service1再通过拿到手的TGT票据去申请访问其他域内服务,Service1在拿到用户的...14.KDC返回步骤13中请求的票据 15.和16即为Service1通过模拟用户来访问其他Service。...下面对非约束委派进行复现利用 非约束委派配置 setspn -U -A MSSQLvc/mssql.vulntarget.com:1433 win2016 当DC配置SPN给域用户Win2016时,在域内将可产生对域用户的委派...**低版本域控强制认证成功案例待补充** 但再Win2019 以下如win2012 win2008等服务器内 ,使用spoolSample项目强制域控机认证域机器是有很大概率奏效的。
服务账号:域内用户的一种类型,是服务器运行服务时所用的账号,将服务运行起来加入域内,比如:SQLServer,MYSQL等;域用户通过注册SPN也能成为服务账号。...从攻击角度来说:如果攻击者拿到了一台配置了非约束委派的机器权限,可以诱导管理员来访问该机器,然后可以得到管理员的TGT,从而模拟管理员访问任意服务,相当于拿下了整个域环境。...此时拿到了管理员的票据,用mimikatz将票据注入内存中,然后访问域控 导入票据 kerberos::ptt [0;11eeaa]-2-0-60810000-Administrator@krbtgt-HIRO.COM.kirbi...在这种情况下,服务可以调用S4U2Self来要求身份验证服务为其自身的任意用户生成TGS,然后可以在调用S4U2Proxy时将其用作依据。...ST服务票据,那么我们就可以模拟任意用户访问服务B了。
3.2 工具介绍 DomainPasswordSpray.ps1是用PowerShell编写的工具,用于对域用户执行密码喷洒攻击。...随后我们就可以拿去爆破了,不过前提就是需要伪造请求的用户名设置了"不要求Kerberos预身份认证" 5.2 两种环境的利用 5.2.1 域内 工具Rebeus 使用命令直接获取域内所有开启"不要求Kerberos...约束委派信息搜集 Empire下的powerview.ps1脚本 配置了约束委派的服务域账号 powershell.exe -exec bypass -Command "& {Import-Module...基于资源的约束委派的利用: 基于资源的约束委派利用最常用的也就是烂番茄漏洞提权了 涉及到两种协议: S4U2Self 作用其实是协议转换,在约束委派中,因为服务器不能再获取委派用户的tgt去请求tgs了...S4U2proxy 该拓展作用是使用一张用户身份的TGS去向KDC请求一张用于访问服务器B的TGS,这张TGS的身份还是用户。 怎么来设置基于资源的约束委派呢?
同时比较重要的一点是增加了Protected Users组,所属用户会被强制要求使用Kerberos认证,可以避免PTH攻击,以及用户注销后删除凭证(明文密码、LM/NTLM HASH、Kerberos...原来是一个一个的用明文字典去爆破。 委派攻击 域委派 域委派是一种域内主机的行为,使某个服务可以以访问的用户的身份去访问另外一个服务。...为什么需要域委派呢,比如现在有web服务器和文件服务器,当用户A访问web服务器去请求某个资源时,web服务器上本身并没有该资源,所以web服务器就会从文件服务器上调用这个资源,其中发生的过程若以域委派的形式进行...我们模拟管理员调用非约束性委派机的smb服务 我们回到非约束委派机,查看票据 tgt被截获,我们用 sekurlas::tickets /export 把票据导出来 然后mimikatz里使用 kerberos...如果要求单个参数用双引号引起来,请使用适合您的编程语言的技术。
由于非约束委派的不安全性,微软在windows2003中发布了约束委派的功能,如下所示 在约束委派中的kerberos中,用户同样还是会将TGT发送给相关受委派的服务,但是由于S4U2proxy的影响,...4.Service1在步骤3使用模拟用户申请KDC所获得的ST1票据与User进行验证,然后响应用户的请求。...rootkit.org 前期准备: 域控机为域用户配置SPN,用于域用户配置约束委派 setspn -U -A SQL/test win2016 此时在Active Directory 用户和计算机处...,可以发现域用户win2016已经可以配置委派了。...关于约束委派的防御方法: 1、高权限用户没有在特殊要求之下设置为不可委派,比如administrator
攻击者现在可以执行以下操作: 攻击者可以模拟 “受保护用户”组的成员以及 “账户敏感且无法委派”配置的用户。 攻击者可以禁止执行身份验证协议转换的服务,发起攻击。...或者攻击设置了信任该计算机来委派指定的服务器选项===> 仅使用Kerberos 大致的攻击思路如下: 首先攻击者获取了在域内的某台机器作为立足点。...如果允许Service1执行协议转换(即使用“ TrustedToAuthForDelegation”进行配置),保护用户免受委托,执行过程如下: 攻击者可以利用最终的服务票据,模拟目标用户和Service2...绕过限制并准备好服务票据后,攻击者可以模拟目标用户和Service2进行交互 实验环境配置: 域:one.com 域控:dc,IP:192.168.8.155,用户:administrator 域内机器...Example Attack #2 第二个是基于资源委派的攻击,首先把之前的实验配置都还原。首先删除dm1的委派权限。连接DC,并把dm1配置为“不信任此计算机进行委派”。
基本介绍 在Windows 2000之后微软引入了一个选项,用户可以通过Kerberos在一个系统上进行身份验证,并在另一个系统上工作,这种技术主要通过委派机制来实现,无约束委派通过TGT转发技术实现,...而这也是我们将本文中讨论的内容 委派介绍 Kerberos委派使服务能够模拟计算机或用户以便使用用户的特权和权限参与第二个服务,为什么委派是必要的经典例证呢,例如:当用户使用Kerberos或其他协议向...web服务器进行身份验证时,服务器希望与SQL后端或文件服务器进行交互 Kerberos委托的类型: 不受限制的委托 受约束的委托 RBCD(基于资源的受限委派) SPN介绍 Kerberos身份验证使用...,如果用户请求在具有不受约束的委托的服务器集上的服务的服务票据时,该服务器将提取用户的TGT并将其缓存在其内存中以备后用,这意味着服务器可以冒充该用户访问域中的任何资源 在计算机帐户上,管理员可以为不受限制的委派设置以下属性...TGT并将它们存储在缓存中 这个TGT可以代表经过身份验证的用户访问后端资源 代理系统可以使用这个TGT请求访问域中的任何资源 攻击者可以通过使用用户委派TGT请求任何域服务(SPN)的TGS来滥用不受限制的委派
攻击者可以修改已经协商签名的身份验证流量,然后中继到另外一台服务器,同时完全删除签名要求。通过该攻击方式可使攻击者在仅有一个普通域账号的情况下,运程控制域中任意机器(包括域控服务器)。...4.通过滥用基于资源的约束Kerberos委派,可以在AD域控服务器上授予攻击者模拟任意域用户权限。包括域管理员权限。 5.如果在可信但完全不同的AD林中有用户,同样可以在域中执行完全相同的攻击。...3.使用中继的LDAP身份验证,将受害者服务器的基于资源的约束委派权限授予攻击者控制下的计算机帐户。 4.攻击者现在可以作为AD服务器上的任意用户进行身份验证。包括域管理员。...这里利用CVE-2019-1040漏洞打Kerberos委派的话有两个利用场景,假如我们已经获取到了域内某台机器的权限,并且利用这域内用户创建了一个计算机用户。...通过secretsdump dump出所有密码哈希值: 我们也可以通过直接通过ldaps来添加机器用户来达到配置委派。这个需要域控制器添加到ldaps的证书才能连接ldaps。
**欢迎关注我的微信公众号《壳中之魂》** 委派一般出现在域环境中。它是一种机制,在kerberos认证的时候会涉及到。不正确的委派的配置,可能使攻击者达到提权的目的。...A便可以模拟用户向域控制器请求访问服务B的ST服务票据。...4.拿到域管的TGT 5.将域管的TGT注入 约束委派 原理 从上面可以看到,非约束委派是相当不安全的,获得了域控制器的TGT就等于可以可以用域控制器的权限访问任何任务,所以微软推出了约束委派,还扩充kerberos...可以让用户模拟成域内任意用户然后向该计算机进行身份验证。...防御委派攻击 1、没有在特殊要求之下设置为不可委派(即设置为敏感账户) ?
扩展模拟用户向KDC请求ST。...3.KDC这时返回给Service1一个用于用户验证Service1的ST(我们称为ST1),并且Service1用这个ST1完成和用户的验证过程。...4.Service1在步骤3使用模拟用户申请KDC所获得的ST1票据与User进行验证,然后响应用户的请求。...前期准备: 域控机为域用户配置SPN,用于域用户配置约束委派 setspn -U -A SQL/test win2016 图片 此时在Active Directory 用户和计算机处,可以发现域用户...为win2016用户配置约束委派,做win2 019机器的cifs服务的委派 图片 图片 此时应用设置后,已在域中完成了win2016用户对win2019机器的cifs服务的委派 发现约束委派
如果用户X是使用Kerberos认证登录的,在A服务器上会有用户X的TGS,就不需要使用S4USelf去申请TGS,直接使用用户X的TGS。...当用户X使用非Kerberos协议请求网站A的时候,网站A是没有用户X的TGS的,但是是网站A要去获取文件服务器B的访问权限(TGS)需要用户X的TGS,因此S4U2Self解决了这个问题,网站A服务器可以使用它去向...此属性作用是控制哪些用户可以模拟成域内任意用户然后向该计算机进行身份验证。...第一步,连接域控ldap创建计算机账户evilpc 在上一篇文章《这是一篇“不一样”的真实渗透测试案例分析文章》中我们提到"域控不允许在未加密的链接中创建计算机用户"。...答案是:ldaps需要配置证书才能使用,在默认环境下就不能正常工作,而ldap只要将Sealing属性设置为ture则可以用sasl加密连接。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
