攻击受限委派以提升访问权限

本文完善了有关 Kerberos 委托的一系列文章。在阅读本文之前，我们建议您确保熟悉 Active Directory 委派和 Kerberos 委派，并阅读了本系列之前的文章，其中概述了如何配置基于资源的约束委派和无约束委派以及如何配置它们被虐待。

本文解释了约束委托攻击如何使攻击者获得对重要服务的更高访问权限。

受限委派

约束委派使管理员能够配置 Active Directory 用户或计算机帐户可以委派哪些服务以及可以使用哪些身份验证协议。它是在 AD 对象的“委派”选项卡上配置的：

当对帐户设置约束委派时，会发生两件事：

• 对象的 userAccountControl 属性使用“TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION”标志进行更新。
• msDS-AllowedToDelegateTo 属性使用指定的 SPN 进行填充。

受限委托攻击

理论上，受限委派可以限制 AD 帐户遭到泄露时可能造成的损害。 但约束委派可能会被滥用：攻击者如果泄露了配置了服务约束委派的帐户的明文密码或密码哈希，则可以冒充环境中的任何用户来访问该服务。例如，如果将约束委派配置为 Microsoft SQL SPN，则攻击者可以获得对该数据库的特权访问权限。

攻击如何展开

我们假设以下情况：

• 我们已经在 IT 环境中站稳了脚跟。
• 我们泄露了工作站上具有本地管理员权限的帐户。
• 我们使用 Mimikatz 获取登录后留在内存中的密码哈希，并且关联帐户（“notadmin”帐户）已配置约束委派。

因此，到目前为止，我们所拥有的只是访问我们所登陆的一台计算机以及为约束委派配置的帐户的密码哈希。

步骤 1. 侦察

为了利用约束委托，我们需要三个关键的东西：

• 配置了受限委派的受感染帐户
• 请求访问服务时要模拟的目标特权帐户
• 有关托管我们将访问的服务的计算机的信息

我们有第一个，所以让我们得到另外两个。

1.1：首先，让我们看看“notadmin”帐户的约束委派是如何配置的：

1.2：我们现在知道在 SBPMLAB-DC2 主机上为 CIFS 和 LDAP SPN 配置了约束委派。因此，让我们准确了解 SBPMLAB-DC2 主机是什么（尽管名称多少暴露了它！）。也许计算机的组成员资格会告诉我们一些信息。

1.3：我们很幸运：该用户能够委派访问权限的计算机是域控制器 (DC)。现在让我们找到一个好的用户来模拟访问此服务。以下 PowerShell 通用命令将枚举域管理员组的成员：

Get-ADGroup ‘Domain Admins’ | Get-ADGroupMember

我们可以看到帐户“KevinJ”是域管理员的成员，因此现在我们拥有利用约束委派所需的所有内容。

第 2 步：获取访问权限

使用像 Kekeo 这样的工具，我们可以为配置了约束委派的帐户请求票证授予票证（TGT），为我们要模拟的帐户执行票证授予服务请求，然后访问目标服务。

请记住，我们尚无权访问目标主机上的 C$管理共享：

2.1。 使用 Kekeo，我们使用其密码哈希请求“notadmin”帐户的 TGT：

2.2。 现在我们有了 TGT，我们可以为我们想要模拟的帐户执行 TGS 请求，以获取“notadmin”帐户所限制的目标服务：

2.3。 切换回 Mimikatz，我们可以使用 Pass the Ticket 来访问目标主机上的 CIFS 服务：

如您所见，导入票证后，我们可以导航到域控制器上的 C$管理共享。这意味着我们有可能窃取 NTDS.dit 文件的副本并尝试离线破解用户密码。

防范基于委托的攻击

防御与委派相关的攻击的关键技术是将不应委派的敏感帐户放入“受保护的用户”组中，或者在“帐户”选项卡上的“Active Directory 用户和计算机”中标记“帐户敏感且无法委派”复选框:

如需更广泛的保护，请考虑 Netwrix Active Directory 安全解决方案。它提供了全面的报告，可以清晰地了解无约束和约束委派的配置位置以及受约束的特定服务帐户。使用此信息，您可以降低风险并更有效地保护您的环境。除此之外，您可以轻松检测并自动响应复杂的威胁并减轻其影响。

常问问题

什么是受限委托攻击？

受限委托攻击是一种网络攻击，其中攻击者通过利用授予服务帐户的权限来获得对目标系统或服务的未经授权的访问。通过破坏服务帐户或拦截和操纵服务之间的 Kerberos 流量，攻击者可以冒充用户并获得对允许该服务帐户访问的其他服务的未经授权的访问。这种类型的攻击可能比无约束委托攻击更难以执行，但它仍然对网络安全构成严重威胁。

什么是受约束委派和无约束委派？

约束委派和非约束委派是 Kerberos 身份验证协议配置为使服务能够模拟用户访问其他服务的两种方式。无约束委派允许服务模拟用户来访问 Active Directory 域内的任何其他服务。另一方面，约束委派通过指定服务可以代表用户访问哪些服务来限制委派范围。

无约束委托是什么意思？

无约束委派是一种 Kerberos 委派配置，允许服务模拟用户来访问 Active Directory 域中的任何其他服务。攻击者可以利用这种类型的委派在网络内横向移动并获取对敏感数据或系统的访问权限。

为什么无约束委派不好？

无约束委派被认为是不好的，因为它可以使攻击者在网络内横向移动并获得对敏感数据或系统的访问权限。建议改用约束委派，这样可以限制委派的范围，降低攻击成功的风险。