三种委派 非约束委派 约束委派 基于资源的约束委派 概念

news2024/12/25 0:25:07

前言

简单记录下委派攻击的概念。具体的攻击演示/复现这里没有。


强烈建议反复通读《域渗透攻防指南》P242开始的4.5!!!

以前看gitbook那个学的,yysy,真的不怎么适合零基础的看。

趁课上认真看了看4.5章,赶紧记一下。


域内委派的框架:

在这里插入图片描述

其中服务A和服务B都是服务账户或机器账户。

代表用户 <=> 以用户权限

服务2 <=> 待攻击的服务

(所以说为什么RBCD牛逼?因为RBCD是直接配服务2!)

非约束委派(UD)

核心在于,用户会把TGT缓存到服务1的LSASS中,我们可以dump出lsass缓存的高权限hash。

流程

流程:(这里只写服务1,服务2的情况,服务N同理)

在这里插入图片描述

关键点:Client最初请求了两个TGT,TGT1和TGT2。

第一个TGT,TGT1:是client用来证明自己有访问/委派服务1的权限。(KDC签发的TGT1)

第二个TGT,TGT2:是client向KDC申请的访问服务2的权限,然后会把TGT2在第(7)步请求服务1时一起发给服务1,这样服务1就有服务2的访问授权了。(来自client给的KDC发的TGT2)。

这样看,TGT2需要forwardable也很好理解了。

其实这两个TGT的作用和区别很关键,因为后面约束委派S4U2SELF就是"模拟"了TGT1的过程。

漏洞利用点

前面提到过,非约束委派会让client的TGT(TGT1,TGT2,……TGTN)一起发给服务1,服务1的LSASS缓存有TGT。所以可以让高权限用户访问服务1。(这里没提需不需要发起client用服务1 的委派,我觉得不需要,可能服务1的非约束配置决定了任意用户访问服务1,服务1都会当成一个委派,然后缓存TGT票证)

约束委派(CD)

配置细节这里不提,还是重点关注流程+漏洞利用点。

核心点:服务1(配置了CD的服务)发起S4U的时候是不需要用户凭据的

流程

流程:(还是以服务1,服务2为例)

(这里开始按着书上的画的,后面发现书上少了两步,呃呃呃。。。)

在这里插入图片描述

(1):Client请求和非约束委派不一样的点在于,这里的client不一定经过了Kerberos认证(可能通过NTLM之类的其它协议的认证)来访问服务1。

(2)(3):由于(1)所说的其它协议认证,服务1并没有获得ST,所以得拿一个ST1,才能继续S4U2PROXY。

(可以这样理解:理想的流程就是用户用ST1访问服务1,服务1代表用户拿一个服务2的ST2。)

但是由于Kerberos协议,必须要有AS_REQ/AS_REP。

所以这里服务1向KDC获取了一个的可转发的TGT。

(4)(5):走完AS_REQ/AS_REP的“流程”后,服务1用S4U2SELF代表用户向KDC申请访问服务1(自身服务)的forwardable ST(ST1)。

这里对应到wireshark包,就能看到SNAME和CNAME都是服务1账户本身。

然后服务1用ST1返回自身服务给用户。

(6)(7):用户又发起了服务2的请求,由于配置了服务1到服务2的约束委派,所以服务1会利用S4U2PROXY向KDC申请服务2的ST2,这个TGS_REQ的additional ticket带上了可转发的ST1。

KDC验证后会返回forwardable ST2。

并且ST2的CNAME标识的是Client而不是服务1

(8)……:服务1用ST2,代表用户访问服务2。

思考

Q:为什么需要S4U2SELF?

A:因为第一步Client访问服务1给的凭据不一定是Kerberos,不一定是ST,所以需要走S4U2SELF获得一个ST。

漏洞利用点

可以看到在S4U2SELF的步骤中,是不需要用户凭据的。

即整个流程其实都是可以不要用户凭据的。

虽然可能在正常的流程中,client访问服务1需要相应凭据,但我们代表用户获得ST1,ST2的时候都不需要凭据!

这里再列一下漏洞利用流程,加深理解:

  1. 服务账户 N0用自己的凭据向KDC申请一个可转发的TGT。

  2. 服务账户 N0用S4U2SELF,代表admin申请一个访问服务1(自身服务)的可转发的ST1,TGS_REQ的CNAME和SNAME都是服务账户N0。

  3. 服务账户 N0用上一步的可转发的ST1,以高权限用户admin的身份用S4U2PROXY向KDC申请访问域控CIFS服务的ST2。

    此时TGS_REP中的CNAME是用户 admin,SNAME是域控。

  4. PTT以域管权限访问域控CIFS。

基于资源的约束委派(RBCD)

跟CD的区别(✨)

CD:服务1是配置了约束委派的服务账户,然后设置对应可PROXY的服务2。

RBCD:服务2是配置了基于资源的约束委派的服务账户,然后在xxx属性配置了服务1的SID。

可以看到,

  1. CD是一个正向的配置过程;RBCD是一个反向的配置过程。
  2. CD配的是服务1;RBCD配的是服务2。
  3. CD是已经决定了中转服务1,配置代理终点的服务2;RBCD是已经决定了代理的终点服务2,决定代理中转点服务1
  4. CD一般需要域管及以上权限;RBCD可以用机器自身将机器加入域的域用户的权限。
  5. RBCD可跨域委派。

流程

在这里插入图片描述

这里省略了用户请求的这一步。

其实本质都和前面CD那儿一样,区别在于:

  1. 拿到的ST1不是可转发的。
  2. 即使ST1不可转发,由于是RBCD,KDC还是会返回ST2。()

漏洞利用点

RBCD的好处就在于权限要求低了很多,而且不需要走KDC审核权限。

(KDC看的是服务2的配置中有无服务1的SID)

书中也说了,RBCD可以用机器自身将机器加入域的域用户的权限。

而域用户的权限是比较好拿的,拿了后我们自己创一个机器账户(以这个域用户的身份),然后配置一个RBCD,配置要PROXY到的本机(maybe其它也行?)服务,将服务1(也需要我们拿下)的SID加进来,就可以做隐藏后门了。

也记录下具体攻击流程,加深理解:

(这里以本机提权为例):假设我们拿到了一台主机的域用户,且这个域用户有配置RBCD的权限。我们想要提权到SYSTEM:

  1. 机器账户machine$身份向KDC请求可转发的TGT。(我们自己配的,有密码/HASH)
  2. KDC返回可转发的TGT
  3. S4U2SELF:机器账户machine$以高权限用户admin的身份访问自身服务。
  4. KDC返回一个不可转发的ST1。
  5. S4U2PROXY:机器账户machine$高权限用户admin的身份申请本机CIFS服务的ST2,additonal ticket中带上上一步获得的不可转发的ST1。
  6. KDC返回以高权限用户admin身份访问本机CIFS服务的ST2.
  7. PTT。以域管身份访问本机CIFS,拿到SYSTEM权限。

大致还是很清晰了,就是还有个疑问:

我们拿到的域用户对应的机器账户能配置本机外的其它服务吗?🤔

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2158494.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

如何快速免费搭建自己的Docker私有镜像源来解决Docker无法拉取镜像的问题(搭建私有镜像源解决群晖Docker获取注册表失败的问题)

文章目录 📖 介绍 📖🏡 演示环境 🏡📒 Docker无法拉取镜像 📒📒 解决方案 📒🔖 方法一:免费快速搭建自己的Docker镜像源🎈 部署🎈 使用🔖 备用方案⚓️ 相关链接 🚓️📖 介绍 📖 在当前的网络环境下,Docker镜像的拉取问题屡见不鲜(各类Nas查询…

【编程基础知识】MySQL中什么叫做聚簇索引、非聚簇索引、回表、覆盖索引

一、引言 在数据库的奇妙世界里&#xff0c;索引是提升查询速度的超级英雄。就像图书馔的目录帮助我们快速找到书籍一样&#xff0c;MySQL中的索引加速了数据检索的过程。本文将带你深入了解MySQL中的聚簇索引、非聚簇索引、回表操作以及覆盖索引&#xff0c;探索它们如何影响…

机器人顶刊IEEE T-RO发布无人机动态环境高效表征成果:基于粒子的动态环境连续占有地图

摘要&#xff1a;本研究有效提高了动态环境中障碍物建模的精度和效率。NOKOV度量动作捕捉系统助力评估动态占用地图在速度估计方面的性能。 近日&#xff0c;上海交通大学、荷兰代尔夫特理工研究团队在机器人顶刊IEEE T-RO上发表题为Continuous Occupancy Mapping in Dynamic …

Keysight 下载信源 Visa 指令

用于传输原始的IQ数据 file.wiq 或者 file.bin wave_bin:bytes with open("./WaveForm.wfm","rb") as f:wave_bin f.read()log.info("File:WaveForm.wfm Size:%d Bytes"%len(wave_bin)) IMPL.sendCommand(":MEM:DATA \"WFM1:FILE1\&q…

每日OJ题_牛客_杨辉三角(动态规划)

目录 牛客_杨辉三角&#xff08;动态规划&#xff09; 解析代码 牛客_杨辉三角&#xff08;动态规划&#xff09; 杨辉三角_牛客题霸_牛客网 解析代码 最基础的 dp 模型&#xff0c;按照规律模拟出来杨辉三角即可。 #include <iostream> using namespace std;int dp…

企业上云不迷茫,香港电讯助力企业上云全攻略

在全球政策和市场双重驱动下&#xff0c;云计算产业正迎来前所未有的增长浪潮。据中国信通院《云计算白皮书&#xff08;2023年&#xff09;》1显示&#xff0c;2022年全球云计算市场规模已达到4,910亿美元&#xff0c;同比增长率高达百分之十九。而在中国市场&#xff0c;这一…

带线无人机现身俄罗斯抗干扰技术详解

带线无人机在俄罗斯的出现&#xff0c;特别是其光纤制导技术的应用&#xff0c;标志着无人机抗干扰技术的一大进步。以下是对俄罗斯带线无人机抗干扰技术的详细解析&#xff1a; 一、带线无人机抗干扰技术背景 技术突破&#xff1a;俄军成功研发了光纤制导无人机&#xff0c;…

数据链路层协议 —— 以太网协议

目录 1.数据链路层解决的问题 2.局域网通信方式 以太网 令牌环网 无线局域网 3.以太网协议 以太网帧格式 对比理解Mac地址和IP地址 认识MTU MTU对IP协议的影响 MTU对UDP的影响 MTU对TCP的影响 基于以太网协议的报文转发流程 交换机的工作原理 4.ARP协议 ARP协议…

springboot+vue高校两校区通勤校车预约系统的设计与实现

目录 用户功能管理员功能系统实现截图技术介绍核心代码部分展示使用说明详细视频演示源码获取 用户功能 登录注册&#xff1a;允许用户创建账户并登录系统。 首页&#xff1a;展示系统主要功能和通勤车相关的重要信息。 个人中心&#xff1a;用户可以查看和编辑自己的个人信息…

ios swift5 UITextView占位字符,记录限制字数

文章目录 截图代码&#xff1a;具体使用代码&#xff1a;CustomTextView 截图 代码&#xff1a;具体使用 scrollView.addSubview(contentTextView)contentTextView.placeholderLabel.text LocalizableManager.localValue("write_comment")contentTextView.maxCharac…

分享两个虚拟试衣工具,一个在线,一个离线,还有ComfyUI插件

SAM &#xff0c;对不住了&#xff01; 我没记错的话&#xff0c;OpenAI CEO&#xff0c;性别男&#xff0c;取向男&#xff0c;配偶男。 这又让我联想到了苹果CEO库克... 所以OpenAI和Apple可以一啪即合。 钢铁直男老马就和他们都不对付~~ 开个玩笑&#xff0c;聊…

以数赋能实景三维创新“科技+文旅”

在数字化时代&#xff0c;科技与文化的融合为我们带来了无限可能。今天&#xff0c;我们将探讨如何利用实景三维技术&#xff0c;推动“科技文旅”的创新发展。 1. 实景三维技术概述 实景三维技术&#xff0c;是一种集成了遥感、地理信息系统&#xff08;GIS&#xff09;、三…

量子计算如何引发第四次工业革命——解读加来道雄的量子物理观

在科技的历史长河中&#xff0c;人类经历了多次重大的技术变革&#xff1a;从第一次工业革命的蒸汽机到第三次计算机革命的互联网与半导体技术&#xff0c;每次技术革命都彻底改变了我们的生活。而如今&#xff0c;我们正处在第四次工业革命的前夕&#xff0c;其核心驱动力是量…

mybatis 配置文件完成增删改查(一):直接查询所有信息

文章目录 编写三步走查询所有编写接口方法编写sql语句执行方法&#xff0c;测试结果数据库字段名和实体类变量名不一致&#xff1a;ResultMap数据库字段名和实体类变量名不一致&#xff1a;方法二 编写三步走 编写接口方法&#xff1a;Mapper接口 参数有无 结果类型编写sql语句…

【Python】PythonRobotics:机器人算法的 Python 实现

在机器人技术的研究和开发中&#xff0c;理解和实现各种机器人算法是至关重要的。PythonRobotics 是一个开源项目&#xff0c;它提供了大量机器人算法的 Python 实现&#xff0c;这些算法覆盖了机器人科学的多个领域&#xff0c;包括定位、建图、导航、路径规划等。 ⭕️宇宙起…

nicegui标签组件lable用法深度解读和示例,源代码IDE运行和调试通过,截图为证

传奇开心果微博文系列 序言一、标签组件lable最基本用法示例1.在网页上显示出 Hello World 的标签示例2. 使用 style 参数改变标签样式示例 二、标签组件lable更多用法示例1. 添加按钮动态修改标签文字2. 点击按钮动态改变标签内容、颜色、大小和粗细示例代码3. 添加开关组件动…

美版iPhone 16 Pro完美改卡,15 Pro再见了

资深果粉应该都知道&#xff0c;从iPhone 14起&#xff0c;所有美版的iPhone&#xff0c;都从eSIM实体SIM&#xff0c;改成了全eSIM方案&#xff0c;彻底放弃了实体卡槽&#xff0c;这就给卡贴机这一行业造成了毁灭性的打击。 因为国内无法使用eSIM&#xff0c;即使有低价的美版…

什么是上层封禁海外流量

上层封禁海外流量&#xff08;Upper-layer Blocking of Overseas Traffic&#xff09;是一种网络安全策略&#xff0c;旨在通过在网络传输的上层进行流量控制和过滤&#xff0c;从而阻止来自海外的恶意流量或不必要的访问。这一措施主要用于防止分布式拒绝服务&#xff08;DDoS…

C++笔记---set和map

1. 序列式容器与关联式容器 前面我们已经接触过STL中的部分容器如&#xff1a;string、vector、list、deque、array、forward_list等&#xff0c;这些容器统称为序列式容器&#xff0c;因为逻辑结构为线性序列的数据结构&#xff0c;两个位置存储的值之间一般没有紧密的关联关…

数据驱动农业——农业中的大数据

橙蜂智能公司致力于提供先进的人工智能和物联网解决方案&#xff0c;帮助企业优化运营并实现技术潜能。公司主要服务包括AI数字人、AI翻译、埃域知识库、大模型服务等。其核心价值观为创新、客户至上、质量、合作和可持续发展。 橙蜂智农的智慧农业产品涵盖了多方面的功能&…