全域委派的工作机制 如需使用全域委派功能,需要按照一下步骤设置和执行操作: 1、启用全域委派:Google Workspace超级用户为服务帐号授予全域委派权限,并设置可以访问的OAuth范围集合。...其中包括服务帐户的客户端ID和客户端密钥,以及访问用户数据所需的范围。...如果请求有效并且服务帐户已被授予必要的全域委派权限,则令牌节点将使用访问令牌进行响应,应用程序可以使用此访问令牌在请求的范围限制内跨域访问用户数据; 3、API访问:应用程序在 API 请求中包含访问令牌作为身份认证...具体可使用的功能和可访问的数据需要取决于策略定义的范围。...“Google Workspace管理员已启用对GCP服务帐户的全域委派,并授予其对敏感范围的访问权限”警报: 缓解方案 为了缓解潜在的安全风险问题,最佳的安全实践是将具备全域委派权限的服务账号设置在GCP
想要使用mimikatz抓取这个组的hash,需要使用sekurlsa:ekeys Restricted Admin RDP模式的远程桌面客户端支持 注销后删除LSASS中的凭据,在这个更新之前...3.域内的任何用户都可以向域内的任何服务请求TGS 4.需要域用户登录才能查询,因为SPN查询部分使用了LDAP协议 7.2 高效率方法 查询SPN,找到有价值的SPN,需要满足以下条件: 该SPN注册在域用户帐户...9.1 前言 域委派是指将域内用户的权限委派给服务账户,使得服务账号能够以用户的权限在域内展开活动。...因此服务账号可分为域用户服务账号、机器服务账号 基于资源的约束委派 原理: 基于资源的约束委派是一种允许自己去设置哪些账户委派给自己的约束委派,它和前面两种不同的地方就是前者是由域控上的高权限账户设置的...首先我们得知道,机器加入域后,而对应登陆的域用户会在域内创建机器对应的计算机对象也就是计算机账户(默认域控的ms-DS-MachineAccountQuota属性设置允许所有域用户向一个域添加多达10个计算机帐户
这意味着我们可以msDS-AllowedToActOnBehalfOfOtherIdentity在此计算机帐户上编写属性以添加受信任的受控 SPN 或计算机帐户进行委派。...我们甚至可以创建一个新的机器帐户并添加它。这允许我们在任何用户的上下文中破坏目标机器,就像约束委派一样。...使用域信任密钥 从 DC,currentdomain\targetdomain$使用 Mimikatz(例如,使用 LSADump 或 DCSync)转储信任帐户的散列。...然后,使用此信任密钥和域 SID,使用 Mimikatz 伪造域间 TGT,将目标域的企业管理员组的 SID 添加到我们的“SID 历史记录”中。...然后,使用这个哈希,使用 Mimikatz 伪造一个跨领域的 TGT,就像之前的方法一样。 这样做需要当前域的 SID 作为/sid参数,目标域的 SID 作为/sids参数的一部分。
需要的条件: 此攻击需要使用DC的ntdsutil来修改DSRM账户的密码。 1.1 直接修改DSRM 帐户的密码 1.2 域帐户同步的方式来修改 需要修改DSRM的登录方式。...2.1 通过注册表修改 实际操作 域帐户同步的方式来修改DSRM 帐户的密码 set dsrm password sync from domain account 域用户 直接修改DSRM 帐户的密码...利用方式 主要有两种方法: 配置机器帐户到krbtgt帐户基于资源的约束委派 配置机器帐户到域控基于资源的约束委派 实际操作 配置机器帐户到krbtgt帐户基于资源的约束委派,使用的工具模块为 Powerview...: 值得注意的是,基于资源的委派,必须是委派双方需资源,例如机器帐户,服务帐户什么的,不能是域用户,下面尝试使用设置域用户帐户设置基于资源的委派,发现能设置,但是实际上是用不了 获取test1域用户的sid...krbtgt帐户基于资源的约束委派,步骤相同,只需要把test1改成机器帐户,或者服务帐户 这里就能成功请求到票据了 这里就有DCSync的权限了,但如果要访问域空,那么krbtgt就得改成域控的机器帐户名了
则验证了对方的真实身份,同时还会验证时间戳是否在范围内。...ST服务票据使用注册了所要求的 SPN 的帐户的NTLM哈希进行加密, 并使用攻击者和服务帐户共同商定的加密算法。ST服务票据以服务票据回复(TGS-REP)的形式发送回攻击者。...服务账号(Service Account),域内用户的一种类型,服务器运行服务时所用的账号,将服务运行起来并加入域。...服务账号(Service Account)是域内用户的一种类型,是服务器运行服务时所用的账号,将服务运行起来并加入域。...基于资源的约束委派不需要域管理员权限去设置,而把设置属性的权限赋予给了机器自身。基于资源的约束性委派允许资源配置受信任的帐户委派给他们。
委派相关 下面这几个是与委派相关的查询命令。 (1) 非约束性委派 如下命令是查询配置了非约束性委派的主机和服务帐户。...:1.2.840.113556.1.4.803:=524288))" -dn 如图所示,可以看到查询出配置了非约束性委派的主机和服务帐户。...(2) 约束性委派 如下命令是查询配置了约束性委派的主机和服务帐户。...(3) 基于资源的约束性委派 如下命令是查询配置了基于资源的约束性委派的主机和服务帐户。...(6) 查询域内高权限的SPN 如下命令是查询域内具有高权限的SPN的帐户。
Kerbero的角色 在Windows域环境中,SYSTEM、NT AUTHORITY\NETWORK SERVICE和Microsoft虚拟帐户可以用于对加入域的系统计算机帐户进行身份验证,而在现代版本的...值得注意的是,IIS和MSSQL也在使用这些虚拟帐户。...因此,我们可以使用S4UTomato来获取本地机器上域管理员帐户“administrator”的服务凭证,然后在SCMUACBypass工具的帮助下,利用该凭证创建系统服务并获得SYSTEM权限。...在计算机加入域的任意情况下,只要我们能够在Windows服务帐户或Microsoft虚拟帐户的上下文下运行代码,就可以利用上述技术进行本地权限提升。...为了实现上述目标,S4UTomato利用了三种技术:基于资源的约束委派、影子凭据和Tgtdeleg。
S4U2proxy(Service for User to Proxy) 可以以用户的名义请求其它服务的 ST,限制了 S4U2proxy 扩展的范围。...不同于允许委派所有服务的非约束委派,约束委派的目的是在模拟用户的同时,限制委派机器/帐户对特定服务的访问。 S4U2self: (1) 用户向 service1 发送请求。...此外,我们不仅可以访问约束委派配置中用户可以模拟的服务,还可以访问使用与模拟帐户权限允许的任何服务。(因为未检查 SPN,只检查权限)。...服务账号(Service Account),域内用户的一种类型,服务器运行服务时所用的账号,将服务运行起来并加入域。...基于资源的约束委派不需要域管理员权限去设置,而把设置属性的权限赋予给了机器自身。 基于资源的约束性委派允许资源配置受信任的帐户委派给他们。
KB2871997 为属于管理员组成员的任何本地帐户添加了两个新的本地 SID,包括 LOCAL_ACCOUNT_AND_MEMBER_OF_ADMINISTRATORS_GROUP (S-1-5-114...LAPS 通过为域中每台计算机上的通用本地管理员帐户设置不同的随机密码来解决此问题。使用该解决方案的域管理员可以确定哪些用户(例如帮助台管理员)有权读取密码。...使用 LAPS 自动管理加入域的计算机上的本地管理员密码,以便密码在每台托管计算机上是唯一的、随机生成的,并安全地存储在 Active Directory 基础结构中。...Microsoft 安全公告 3062591包含有关 LAPS 的其他信息。 为什么这很重要? LAPS解决了管理每台计算机的本地管理员帐户密码的难题,该密码通常仅在域帐户无法使用的情况下使用。...在域或组织单位 (OU) 级别进行委派,以便计算机可以更新其LAPS密码。 OU 级别的委派使 AD 组能够查看或强制重置计算机本地管理员帐户密码。
不得信任特权帐户(例如属于任何管理员组的帐户)进行委派。允许信任特权帐户进行委派提供了一种方法......及时复制可确保目录服务数据在支持相同客户端数据范围的所有服务器之间保持一致。在使用 AD 站点的 AD 实施中,域......域系统上的本地管理员帐户必须使用唯一密码。如果域系统受到威胁,请为域系统上的本地管理员帐户共享相同的密码......作为系统管理员的人员必须仅使用具有必要最低权限级别的帐户登录域系统。只有系统管理员帐户专门用于... V-36433 中等的 管理员必须拥有专门用于管理域成员服务器的单独帐户。...V-8521 低的 具有委派权限的用户帐户必须从 Windows 内置管理组中删除或从帐户中删除委派权限。 在 AD 中,可以委派帐户和其他 AD 对象所有权和管理任务。
基于资源的约束委派不需要域管理员权限去设置,而把设置属性的权限赋予给了机器自身。基于资源的约束性委派允许资源配置受信任的帐户委派给他们。...配置了基于资源的约束委派的账户的userAccountControl属性为 WORKSTATION_TRUST_ACCOUNT,并且msDS-AllowedToActOnBehalfOfOtherIdentity...基于资源的约束委派不需要域管理员权限去设置,⽽把设置属性的权限赋予给了机器⾃身--基于资源的约束性委派允许资源配置受信任的帐户委派给他们。...那么这就代表我们如果拥有一个普通的域用户那么我们就可以利用这个用户最多可以创建十个新的计算机帐户也就是机器账户。...基于资源的委派攻击 首先先登录刚才创建的join用户 1、查找可以攻击的目标 假设我们拿到一个域用户的帐户,我们想要进行基于资源的委派攻击,首先要先查看一下当前账户可以修改谁的msDS-AllowedToActOnBehalfOfOtherIdentity
域委派是什么 是将域用户的权限委派给服务账号,委派之后,服务账号就可以以域用户的身份去做域用户能够做的事 注意:能够被委派的用户只能是服务账号或者机器账号 1.机器账户:活动目录中的computers组内的计算机...服务账号(Service Account),域内用户的一种类型,服务器运行服务时所用的账号,将服务运行起来并加入域。...基于资源的约束委派允许资源配置受信任的帐户委派给他们。基于资源的约束委派将委派的控制权交给拥有被访问资源的管理员。...和 win7 如果我们拿到了Account Operators组内用户权限的话,则我们可以拿到除域控外所有机器的system权限。...,用于标记加入域时使用的用户的SID值,反查就可以知道是谁把机器加入域的了) Account Operator组成员 该主机的机器账户 AdFind.exe -h 10.150.127.166 -b
基于资源的约束委派(RBCD)是在Windows Server 2012中新加入的功能,与传统的约束委派相比,它不再需要域管理员权限去设置相关属性。...S4U2Self,是因为如果用户X登录网站是使用的非Kerberos协议,就涉及到协议转换的问题,因此需要使用S4USelf。...如果用户X是使用Kerberos认证登录的,在A服务器上会有用户X的TGS,就不需要使用S4USelf去申请TGS,直接使用用户X的TGS。...(机器账户自身也可以修改) 我们再回顾一个知识点,默认域控的ms-DS-MachineAccountQuota属性设置允许所有域用户向一个域添加多达10个计算机帐户,就是说只要有一个域凭据就可以在域内任意添加机器账户...)中是这样解释的 iis apppool 账号请求网络资源时用的是当前机器账户身份请求的 而这样设计会导致一个非常严重的问题就是可以直接连接到域控的ldap设置基于资源约束委派。
如果对计算机对象/域用户具Account Restriction和msDS-AllowedToActOnBehalfOfOtherIdentity属性的WriteProperty,就能进行基于 资源约束委派的利用...的Account Restriction的WriteProperty权限 (2).拿下域权限后添加bob对alice-workstation$的msDS-AllowedToActOnBehalfOfOtherIdentity...如果将 SPN 添加到bob就能成功从 KDC申请ST票据,这意味着这不是用户帐户本身的问题,而只是 KDC 无法选择正确密钥进行解密。...烂番茄 基于资源的约束委派通过修改自身msDS-AllowedToActOnBehalfOfOtherIdentity字段达到委派的目的,默认把这台域机器拉入域的域 用户有这个权限,还有谁有?...利用这一特性可以直接使其连接到域控的ldap设置基于当前机器的基于资源的约束委派,造成当前域机器沦陷。 演示 前面已知: 1. 域内用户默认可以创建十台域机器。
这里首先尝试以下使用mimikatz抓取hash,是能够抓取到的 ? 再尝试把缓存次数改为0 ? 这里需要在域内的机器才能够完成实验,这里我换了一台在域内的win7系统。...,包括用户的明文密码、LM/NTLM HASH、Kerberos的TGT票据、SessionKey 再就是第4点,在补丁中会添加两个新的SID,分别为S-1-5-113、S-1-5-114 本地帐户,LOCAL_ACCOUNT...(S-1-5-113),所有本地帐户继承自此SID;本地帐户和管理组成员,LOCAL_ACCOUNT_AND_MEMBER_OF_ADMINISTRATORS_GROUP(S-1-5-114),所有管理员组的本地用户继承此...S-1-5-114这里在中文操作系统中提供的翻译是“NTAUTHORITY\本地帐户和管理员组成员”,但实际上是“所有本地Administrators组中的本地帐户”,即域用户即使被加入到了本地Administrators...这个SID对于限制横向渗透的远程连接并没有任何实质的作用,它的主要作用是更方便的防止通过网络使用本地帐户登录。
此后,这些帐户具有域范围的访问权限,访问时加上域前缀即可,并且与域内机器或独立服务器的默认本地用户帐户完全独立。...Account is disabled 禁止用户使用所选帐户登录。...用户还必须在其计算机上安装一个智能卡读卡器和该智能卡的有效个人识别号(PIN)。 Account is trusted for delegation 该帐户配置了委派属性。...Account is sensitive and cannot be delegated 允许控制用户帐户,例如客户帐户或临时帐户。如果此帐户不能由其他帐户分配给委派,则可以使用此选项。...查询服务帐户 查询域内的服务帐户可以转换为查询域内注册的SPN。有很多种手段进行查询,且使用普通域用户权限即可查询。
,将返回所有具有关联服务主体名称的用户帐户,也就是将返回所有SPN注册在域用户下的用户。...一键化脚本: https://github.com/nullbind/Other-Projects/tree/master/GDA 3、扫描远程系统上运行的任务 你使用共享本地管理员帐户运行域系统,你可以运行下面的脚本扫描系统中的域管理任务.../tmp/domain-admin.txt 另外,你可以使用下面的命令来获得当前登录用户的列表 Sessions –s loggedin 收集所有域用户hash 域用户帐户以域数据库的形式保存在活动目录中...DC响应包中就会有域控的TGT 2.约束委派攻击方法: 服务用户只能获取某个用户(或主机)的服务的ST,所以只能模拟用户访问特定的服务,是无法获取用户的TGT,如果我们能获取到开启了约束委派的服务用户的明文密码或者.../COMPUTER01.test.com /pipe:\\COMPUTER01.test.com\pipe\kekeo_tsssp_endpoint 这里使用的参数为域内计算机帐户对应的SPN。
AD DS 主要使用其中一些默认隐藏的默认对象。如图: 域redteam.local:层次结构。 ? 内置容器:存放默认组。 ? 计算机容器:在域中创建的新计算机帐户的默认位置 ?...域控制器:域控机器在的默认组 ? **外部安全主体容器:**在本地 AD DS 域中添加的本地 AD DS 域外部的域中的受信任对象的默认位置。 托管服务账户容器: 托管服务帐户的默认位置。...AD DS 在托管服务帐户中提供自动密码管理。 用户容器:在域中创建的新用户帐户和组的默认位置。 ? 0x04 组策略 组策略可以控制用户帐户和计算机帐户的工作环境。 ?...拥有该权限可以任意设置一台主机的约束性委派,如果控了一个SeEnableDelegationPrivilege权限的用户基本上等于拿下了整个域。 ?...访问令牌包含标识用户帐户和用户所属的任何组帐户的安全描述符。令牌还包含用户或用户组拥有的权限列表。当进程尝试访问安全对象或执行需要特权的系统管理任务时,系统使用此令牌来识别关联的用户。
委派是域中的一种安全设置,可以允许某个机器上的服务代表某个用户去执行某个操作,在域中只有机器帐户何服务帐户拥有委派属性,也就是说只有这两类帐户可以配置域委派,分为三种: 非约束委派 约束委派 基于资源的约束性委派...非约束委派 用户A去访问服务B,服务B的服务帐户开启了非约束委派,那么用户A访问服务B的时候会将A的TGT转发给服务B并保存进内存(LSASS缓存了TGT),服务B能够利用用户A的身份去访问用户A能够访问的任意服务....配置了非约束委派的帐户userAccountControl属性会设置TRUSTED_FOR_DELEGATION标志位....(13)此处描述的 TGT 转发委派机制不限制 Service 1 使用转发的 TGT。Service 1 可以以用户的名义向 KDC 索要任何其他服务的票据。....test /all /csv" exit 已经得到域内所有用户的hash,包括域管的,拿到域管hash后可通过wmi,psexec等直接登录到DC,或者做金票 约束委派 由于非约束委派的不安全性,
领取专属 10元无门槛券
手把手带您无忧上云