委派攻击
非束性委派
攻击思路
AD域控本身会开启非束性委派,然后首先我们攻击对象是域控和服务机,使用打印机漏洞攻击域控机器,漏洞编号CVE-2021-34527,然后使域控回连我们的主机,获取(base64)TGT认购权证,mimikatz和rubeus来导出所有的hash值
束性委派
委派是指将一个或多个安全主体的权限授予另一个安全主体。在 Windows 中,束性委派(Constrained Delegation)是一种委派机制,它允许用户在不暴露他们的凭据的情况下,将他们的身份传递给其他服务器。这是通过使用 Kerberos 协议的安全机制来实现的。
束性委派提供了一种比标准委派更加安全的委派方式,因为它允许管理员指定受信任的服务器和服务,从而限制被委派的权限。这使得攻击者无法利用任意服务漏洞从一台服务器获得对其他服务器的访问权限。
通过使用束性委派,可以在不将用户的凭据传递给其他服务器的情况下,使用户能够访问需要 Windows 身份验证的资源,例如 IIS、SQL Server、Exchange 等。当需要将用户身份传递到其他服务器时,Windows 将使用受信任的跳跃服务器,以代表用户与其他服务器进行身份验证。这使得用户的凭据不会暴露在网络上,从而提高了安全性。
- Pass the Hash 攻击:攻击者通过获取某个用户的密码散列值,然后将其用作身份验证信息来访问 AD 中的其他服务器和资源。
- 委派滥用攻击:攻击者利用 AD 中受信任的跳跃服务器或应用程序,滥用其在 AD 中的权限来访问其他服务器和资源。
- Kerberoasting 攻击:攻击者可以使用 Kerberoasting 技术来从 AD 中获取服务账户的 TGT。这样,攻击者就可以利用该 TGT 从 AD 中访问受信任的服务器和资源。
为了防止这些攻击,管理员可以采取以下措施:
- 禁用不必要的束性委派:管理员应该只允许必要的束性委派,并尽可能限制受信任的服务器和服务。在 AD 中,可以通过为用户或计算机对象配置 “委派” 选项来限制委派权限。
- 启用 Kerberos 约束委派:Kerberos 约束委派可以限制在特定的服务中使用 Kerberos 委派。这可以防止攻击者在 AD 中获取越权访问。
- 使用 Windows 安全性日志监视委派活动:管理员可以使用 Windows 安全性日志来监视委派活动。这可以帮助管理员检测和响应异常活动。
基于资源的约束性委派
基于资源的约束性委派(Resource-Based Constrained Delegation)是一种在Windows Active Directory环境下实现委派权限的技术。与传统的委派技术(如无约束委派和约束性委派)不同,基于资源的约束性委派可以限制委派的权限只能在特定的资源上进行操作,从而提高了安全性。
基于资源的约束性委派需要通过配置Active Directory的访问控制列表(ACL)来实现。具体来说,管理员需要为需要进行委派的对象(如用户或计算机)在目标资源上配置相应的ACL,以指定该对象可以访问该资源的哪些部分以及可以执行哪些操作。然后,管理员可以将该对象的委派权限限制为只能在这些受ACL保护的部分上执行操作。
基于资源的约束性委派可以有效地减少滥用委派权限所造成的安全风险。例如,管理员可以为某个用户配置只能在某个文件夹上执行读取操作的权限,从而避免该用户滥用其他资源的权限。同时,基于资源的约束性委派还可以为用户或计算机提供更细粒度的权限控制,从而提高了系统的安全性