Kerberos 프로토콜의 리소스 기반 계약
4060 단어 Kerberos
앞서 약정 위임 글에서 언급한 바와 같이 제약을 받는 위임을 설정하려면 반드시 SeEnable Delegation 특권을 가져야 한다. 이 특권은 민감하고 통상적으로 역 관리자에게만 부여된다.사용자/리소스를 독립적으로 만들기 위해 Windows Server 2012에는 리소스 기반 계약 위임이 도입되었습니다.자원 약정에 따라 자원 배치를 허가하고 임무를 받는 계정을 다른 사람에게 위임합니다.
자원에 대한 약정위임은 전통적인 약정위임과 매우 비슷하지만 작용의 방향은 상반된다.《Wagging the Dog: Abusing Resource-Based Constrained Delegation to Attack Active Directory》문의 도해를 인용하다.
전통적인 약정위원회파: ServiceA의 msDS-Al ow e d ToA ctOn Behalf Other Identity 속성에 ServiceB에 대한 신뢰 관계를 구성하여 ServiceB에 대한 전송위원회파 신뢰를 정의했다.
자원보증위원회 파견: ServiceB의 msDS-Al ow e T A ctOn Behalf Of Other Identity 속성에 ServiceA에 대한 신뢰 관계를 구성하고 ServiceA로부터 전송되는 신뢰 관계를 정의합니다.
중요한 것은 자원 자체가 자신을 위해 자원위원회파의 신뢰 관계를 설정할 수 있고 자원 자체가 누구를 믿을 수 있는지, 누구를 믿을 수 있는지 결정할 수 있다는 것이다.
그 문장에서 일종의 이용 환경을 주었다.
그러나 우리는 일반적인 구역만 사용할 때 (Generic All,Generic Write,Write Dacl 등) 서비스를 위해 msDS-Alowed ToAction Behalf Offer Identity 속성을 수정할 권리가 없고 두 번째 조건을 만족시키지 못한다.여기는 보통 중간을 사용하기 때문에 중간 인터페이스를 통해 이 기계의 계정 자신의 msDS-Alowed ToAction Behalf 속성을 수정합니다.
ateam의 《이것은'다름'의 진실한 침투 테스트 사례 분석 문장이다》에서 자원 기반의 약정위원회에 대한 이용은 매우 고전적이다.
webdav$
계정을 손에 넣는다.evilpc$
evilpc$
부터 webdav$
까지의 자원 약정 위임 요청이 발생하면 웹dav달러의 tgs가 발생한다.webdav$
참고 자료
데이커 선생님의 조언에 감사 드립니다.이 물건은 오랫동안 썼지만 다 쓴 후에 잘 모르겠어요. 단지 ateam의 그런 이용 장면을 깨달았을 뿐이에요. 다른 장면이 있는지 없는지 꿰뚫어 보지 못했어요. 나중에 시간이 있으면 와서 다시 한 번 보세요.
Reference
이 문제에 관하여(Kerberos 프로토콜의 리소스 기반 계약), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/Y4er/items/93c926da495cd74b1bfe텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)