用户
搜索
  • TA的每日心情
    慵懒
    2020-4-8 14:35
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]初来乍到

    安全团队

    Rank: 7Rank: 7Rank: 7

    6

    主题

    14

    帖子

    82

    魔法币
    收听
    0
    粉丝
    0
    注册时间
    2020-4-8

    安全团队

    发表于 2020-4-30 14:17:18 102589
    本文作者芝诺信息安全团队--白袍
    声明:由于传播、利用此文所提供的信息而造成的任何直接或间接的后果及损失,均由使用者本人负责,本团队及文章者不为此承担任何责任,本文仅限于技术研究范围讨论。
    委派(Delegation)是kerberos相对于NTLM认证独有的特性,指的是A可以让B“代理”自己去访问C服务,说是代理,也可以理解为“假冒”。
    具体为:域中A使用Kerberos身份验证访问域中的服务B,而B再利用A的身份去请求域中的服务C,因为用的是A的身份,所以只有A有权限访问C的时候,委派才能成功。
    分类
    1. 非约束委派(Unconstrained delegation)
    原理:即无限制的转发,B可以用从A处得到的TGT访问任意服务,其中B也可以是任意服务。
    WX20200414-123835@2x.png
    流程如下:
    用户向KDC请求可转发TGT,记为TGT1
    KDC返回TGT1
    用户通过TGT1向KDC请求转发TGT2
    KDC返回TGT2
    用户通过TGT1向KDC申请访问服务1的RST
    KDC返回RST
    用户发送RST、TGT1、TGT2和TGT2的SessionKey给服务1
    服务1通过用户的TGT2请求KDC,以用户名义请求服务2的RST(服务访问票据)
    KDC给服务1返回服务2的RST
    服务1以用户名义向服务2发出请求
    服务2响应服务1的请求
    服务1响应用户第7步骤的请求
    这个流程有一个问题:TGT2是不被限制的,服务1完全可以用它来请求访问任何想访问的服务。攻击其实就是利用的这点,使用从高权限账户处得到的TGT去获取权限。
    环境搭建
    下面演示一下怎么利用,第一步当然是搭建环境。
    环境是这样:

    WX20200414-123835@2x.png
    test用户为域普通用户,ttt为本地管理员,Windows 7为域内主机。
    liukaifeng01用户为管理员,Windows Server 2008为域管。
    首先将test配置为服务账号:

    [XML] 纯文本查看 复制代码
    setspn -U -A variant/golden test //配置test用户为服务账户
    setspn -l test //查看是否配置成功

    WX20200414-123835@2x.png
    再将test用户设置为非约束委派模式:

    WX20200414-123835@2x.png
    然后在Windows 7上登录test用户,启动WinRM服务,这里自行百度。
    发现
    利用的第一步是发现,即我们如何知道域内哪些用户和主机开启了委派。
    这里使用PowerSploit完成,使用Import-Module加载PowerView.ps1进行查询。

    [XML] 纯文本查看 复制代码
    Get-NetUser -Unconstrained -Domain god.org //查询配置非约束委派的账户
    Get-NetComputer -Unconstrained -Domain god.org //查询配置非约束委派的主机

    WX20200411-165333@2x.png
    WX20200411-165333@2x.png
    脚本需要在域控主机上运行。
    游客,如果您要查看本帖隐藏内容请回复




    本帖被以下淘专辑推荐:

    西安芝诺信息安全团队,发源于古城西安,由一群信息安全爱好者组成,主攻前沿网络安全技术,包括:红蓝对抗,物联网(IOT)安全,WEB渗透测试等
    部分内容隐藏,回帖可见。谢谢大家技术共享交流。
    西安芝诺信息安全团队,发源于古城西安,由一群信息安全爱好者组成,主攻前沿网络安全技术,包括:红蓝对抗,物联网(IOT)安全,WEB渗透测试等
    使用道具 举报 回复
    发表于 2020-4-30 15:09:59
    挺详细
    使用道具 举报 回复
    谢谢分享
    使用道具 举报 回复
    发表于 2020-5-1 08:41:55
    谢谢分享
    使用道具 举报 回复
    发表于 2020-5-1 23:51:15
    大哥牛逼克拉斯!!!
    使用道具 举报 回复
    666666666666666
    使用道具 举报 回复
    发表于 2020-5-12 16:59:21
    Mark。。。。。
    使用道具 举报 回复
    发表于 2020-5-14 14:18:52
    111111111111111111111111111
    使用道具 举报 回复
    学习一下看看
    使用道具 举报 回复
    发表于 2020-7-30 16:53:20
    学习一下看看
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册