用户
搜索
  • TA的每日心情
    慵懒
    2020-4-8 14:35
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]初来乍到

    安全团队

    Rank: 7Rank: 7Rank: 7

    6

    主题

    14

    帖子

    82

    魔法币
    收听
    0
    粉丝
    0
    注册时间
    2020-4-8

    安全团队

    发表于 2020-4-30 14:35:56 42700
    本文作者西安芝诺信息安全团队--白袍
    声明:由于传播、利用此文所提供的信息而造成的任何直接或间接的后果及损失,均由使用者本人负责,本团队及文章作者不为此承担任何责任,本文仅限于技术研究范围讨论。
    #另一种利用方法
    如果域管主机没有和委派主机/账户产生交互,黑客是否还能进行攻击呢?
    答案是可以。
    这种方法需要域控主机开启Print Spooler服务,然后攻击者主动要求域控访问委派主机以获取TGT。
    WX20200414-123835@2x.png
    条件:
    主机开启Print Spooler服务,默认开启
    一台开启非受限委派的主机账户
    有一个域普通用户
    我们还需要两个工具:Rubeus,SpoolSample,具体不演示了,因为SpoolSample一直崩溃,无语。

    #约束委派(Constrained delegation)
    原理
    因为非约束委派很不安全,所以微软又发布了约束委派,区别在于不会直接把TGT给服务,所发送的认证信息中包含了允许访问的服务,即不允许服务代表用户去访问其他服务。
    其实现主要依靠一组kerberos扩展:S4U2Self(Service for User to Self)和S4U2Proxy(Service for User to Proxy)

    WX20200414-123835@2x.png
    流程如下:
    用户向服务1发出请求
    在此之前服务1已经得到了用户访问服务1的TGT,接下来通过S4U2self扩展模拟用户向KDC请求ST
    KDC返回给服务1一个用于验证服务1的ST
    服务1使用第三步的ST响应用户的请求
    用户再次向服务1发起请求,委派服务1访问服务2,条件是服务1验证通过且有有效的TGT,以及服务1有用户到服务1的可转发ST,即ST1
    服务1通过S4U2Proxy扩展请求KDC返回一个用于验证服务2的ST,即ST2
    KDC在验证PAC的数字签名后,如果没有失败(成功或没有PAC),将返回ST2给服务1
    服务1代表用户使用ST2请求服务2,服务2判断此用户是否经过KDC验证,依据为ST2中的cname和crealm标识
    服务2响应服务1的请求
    服务1响应用户请求

    环境搭建
    这次多了一台计算机,所以环境如下:
    Windows server 2008 OWA 域控
    Windows server 2008 EX 服务2
    Windows 7 STU1 服务1
    将机器账户STU1$在域控上这样配置:

    WX20200414-123835@2x.png
    #发现
    还是使用PowerSploit,只不过需要dev版而不是master版:

    [XML] 纯文本查看 复制代码
    Get-DomainUser -TrustedToAuth -Domain god.org

    WX20200414-123835@2x.png
    游客,如果您要查看本帖隐藏内容请回复



    本帖被以下淘专辑推荐:

    西安芝诺信息安全团队,发源于古城西安,由一群信息安全爱好者组成,主攻前沿网络安全技术,包括:红蓝对抗,物联网(IOT)安全,WEB渗透测试等
    部分内容隐藏,回帖可见。谢谢大家技术共享交流。
    西安芝诺信息安全团队,发源于古城西安,由一群信息安全爱好者组成,主攻前沿网络安全技术,包括:红蓝对抗,物联网(IOT)安全,WEB渗透测试等
    使用道具 举报 回复
    发表于 2020-4-30 15:10:15
    加油
    使用道具 举报 回复
    谢谢分享
    使用道具 举报 回复
    发表于 2020-5-1 08:42:49
    谢谢分享
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册