Abusing Delegation with Impacket (Part 3): Resource-Based Constrained Delegation
| Hunter Wade
Hunter recently graduated with his Master’s degree in Cyber Defense and has over two years of experience in penetration testing. His favorite area of testing is Active Directory, and in his free time, he enjoys working in his home lab and analyzing malware.
This blog has been cross-posted. We’re grateful to Hunter for allowing us to share this insightful work—you can check out the original post in full HERE.
This is the third in a three-part series of blog posts discussing how to abuse Kerberos delegation! If you haven’t already, feel free to read the first blog post, as they discuss the Kerberos authentication process and how delegation plays an important role in solving the double-hop problem, and how to abuse unconstrained delegation. The second blog post discusses how to abuse constrained delegation!
什么是基于资源的约束委派?
基于资源的约束委派(RBCD)与约束委派类似,但资源本身控制着哪些账户可以委派给它。默认情况下,域账户可以为他们自己或他们控制的任何资源配置 RBCD。这种方法让服务决定谁可以委派给它,而不是由域决定。
基于资源的约束委派滥用技术
基于资源的约束委派有点特殊,主要体现在其配置方式上。它本身对横向移动或权限提升作用有限。此外,配置 RBCD 通常需要以某种方式攻陷一台主机,这很快就使它成为一种“先有鸡还是先有蛋”的困境。
也就是说,当你开始结合 CVE 漏洞和配置错误的权限时,RBCD 就变得有趣多了。本文涵盖了两种主要方法,允许攻击者任意操纵尚未被攻陷的服务的 RBCD 权限:
- Drop the MIC – CVE-2019-1040
- GenericWrite DACL 滥用(机器账户)
- GenericWrite DACL 滥用(用户 SPN)
1. 利用 Drop the MIC 配置 RBCD
CVE-2019-1040(Drop the MIC)绕过了 SMB 签名。通过在 SMB 身份验证期间有效地“丢弃 MIC”,易受攻击的主机即使在被攻击者中继后仍然接受连接。这可以被利用来中继协议,例如强制 SMB 认证到 LDAP,从而允许以被中继的主机身份配置 RBCD。这种方法通常至少需要两个域控制器。
假设我们已攻陷用户 user.one,密码为 Password1!,该用户没有任何特殊权限或配置,只是一个默认用户。
如果我们处于一个至少有两个域控制器(DC01 和 DC02)的域中,并且其中至少一个易受 CVE-2019-1040 攻击(DC01),我们可以利用该用户的基本权限来强制认证,在丢弃 MIC 的同时中继连接,并配置基于资源的约束委派以信任攻击者控制的资源进行委派。
高级步骤如下:
- 攻陷域中的一个用户或机器。
- 识别一个易受 CVE-2019-1040 攻击的域控制器。
- 强制第二个域控制器向攻击者进行身份验证。
- 丢弃 MIC 并将身份验证中继到易受攻击域控制器的 LDAP。
- 使用此会话通过机器账户配额添加一个机器账户。
- 使用此会话通过 RBCD 信任该 MAQ 机器进行委派。
1. 查找易受 CVE-2019-1040 攻击的机器 (10.0.1.202) NetExec v1.4.0 SmoothOperator 现在有一个 remove-mic 扫描器!
|
|
2. 配置 NTLMRelayx 以丢弃 MIC 并中继到 LDAP (10.0.1.202)
|
|
3. 强制第二个 DC (10.0.1.203) 向我们 (10.0.1.13) 进行身份验证
|
|
4. 如果成功,NTLMRelayx 将以 DC02$ 身份进行验证,添加一个机器账户,并信任其进行委派
5. 使用 XEWRIYIH$ 的密码,我们可以获取一个域管理员到 DC02 的服务票据(S4U2Self + S4U2Proxy)
|
|
6. 将票据导出到内存中
|
|
7. 以 administrator 身份对 DC02 执行 DCSync
|
|
8. (清理)移除添加的机器账户(仅管理员用户可操作)
|
|
2. 添加机器账户并使用 GenericWrite 配置 RBCD
假设我们已攻陷用户 dacluser,密码为 Password3#,该用户对域控制器 DC01.secure.local 具有 GenericWrite 权限。
如果用户主体对 Active Directory 对象(如用户或机器)具有“写入所有属性”(GenericWrite)权限,则该用户可以配置基于资源的约束委派,以信任任何用户/机器进行委派。
为了在域内提升权限,我们可以简单地在 DC01$ 上配置 RBCD,以信任使用机器账户配额(MAQ)添加的机器。
高级步骤如下:
- 攻陷一个对某个对象具有 GenericWrite 权限的用户或机器。
- 通过机器账户配额(MAQ)向域中添加一台新计算机。
- 在受影响的对象上配置 RBCD,以信任所添加的机器账户进行委派。
- 使用 S4U2Self 和 S4U2Proxy 获取一个高权限用户到新委派资源的服务票据。
1. 使用 Bloodhound 查找 GenericWrite 配置
|
|
2. 使用机器账户配额添加一台名为 machine$ 的新计算机
|
|
3. 配置 DC01$ 以信任 machine$ 进行委派
|
|
4. 使用 machine$ 的凭据,我们可以获取一个域管理员到 DC01 的服务票据(S4U2Self + S4U2Proxy)
|
|
5. 将票据导出到内存中
|
|
6. 以 administrator 身份对 DC01 执行 DCSync
|
|
3. 添加用户 SPN 并使用 GenericWrite 配置 RBCD
假设我们已攻陷用户 dacluser,密码为 Password3#,该用户对域控制器 DC01.secure.local 具有 GenericWrite 权限。
如果用户主体对 Active Directory 对象(如用户或机器)具有“写入所有属性”(GenericWrite)权限,则该用户可以配置基于资源的约束委派,以信任任何用户/机器进行委派。
为了在域内提升权限,我们可以简单地在 DC01$ 上配置 RBCD,以信任 dacluser 进行委派。
这条路径与之前利用机器账户配额的路径相同,但不是利用 MAQ,如果我们信任 dacluser 进行委派,那么该用户必须分配有一个 SPN 才能成功生成票据。
高级步骤如下:
- 攻陷一个对某个对象具有 GenericWrite 权限的用户或机器。
- 如果需要,向已攻陷的用户添加一个 SPN。
- 配置受影响的对象以信任已攻陷的用户进行委派。
- 使用 S4U2Self 和 S4U2Proxy 获取一个高权限用户到新委派资源的服务票据。
1. 使用 Bloodhound 查找 GenericWrite 配置
|
|
2. 配置 DC01$ 以信任 dacluser 进行委派
|
|
3. 如果 dacluser 还没有 SPN,则为其添加一个(DACL.secure.local)
|
|
4. 使用 dacluser 的凭据,我们可以获取一个域管理员到 DC01 的服务票据(S4U2Self + S4U2Proxy)
|
|
5. 将票据导出到内存中
|
|
6. 以 administrator 身份对 DC01 执行 DCSync
|
|
结论
基于资源的约束委派是一个有趣且微妙的配置,就其本身而言,对攻击者的价值不大。但当与已知漏洞、过于强大的权限或其他外部因素相结合时,它就变得有价值得多!
参考文献
- https://shenaniganslabs.io/2019/01/28/Wagging-the-Dog.html#a-forwardable-result
- https://www.thehacker.recipes/ad/movement/kerberos/delegations/constrained
- https://sqlmastersconsulting.com.au/SQL-Server-Blog/granting-sql-service-account-permissions-create-spns/
- https://github.com/dirkjanm/krbrelayx
- https://www.guidepointsecurity.com/blog/delegating-like-a-boss-abusing-kerberos-delegation-in-active-directory/
- https://www.thehacker.recipes/ad/movement/kerberos/spn-jacking
- https://luemmelsec.github.io/S4fuckMe2selfAndUAndU2proxy-A-low-dive-into-Kerberos-delegations/
- https://mayfly277.github.io/posts/GOADv2-pwning-part10/
- https://shenaniganslabs.io/2019/01/28/Wagging-the-Dog.html
- https://www.tiraniddo.dev/2022/05/exploiting-rbcd-using-normal-user.html
- https://attl4s.github.io/assets/pdf/You_do_(not)_Understand_Kerberos_Delegation.pdf
- https://www.netexec.wiki/news/v1.4.0-smoothoperator
- https://www.blackhillsinfosec.com/bypass-ntlm-message-integrity-check-drop-the-mic/
- https://www.semperis.com/blog/spn-jacking-an-edge-case-in-writespn-abuse/
- https://github.com/abaker2010/impacket-fixed
Ready to learn more? Level up your skills with affordable classes from Antisyphon! Pay-Forward-What-You-Can Training Available live/virtual and on-demand