Kerberos 프로토콜의 리소스 기반 계약

4060 단어 Kerberos
이해 자원 약정 위원회 파
앞서 약정 위임 글에서 언급한 바와 같이 제약을 받는 위임을 설정하려면 반드시 SeEnable Delegation 특권을 가져야 한다. 이 특권은 민감하고 통상적으로 역 관리자에게만 부여된다.사용자/리소스를 독립적으로 만들기 위해 Windows Server 2012에는 리소스 기반 계약 위임이 도입되었습니다.자원 약정에 따라 자원 배치를 허가하고 임무를 받는 계정을 다른 사람에게 위임합니다.
자원에 대한 약정위임은 전통적인 약정위임과 매우 비슷하지만 작용의 방향은 상반된다.《Wagging the Dog: Abusing Resource-Based Constrained Delegation to Attack Active Directory》문의 도해를 인용하다.

전통적인 약정위원회파: ServiceA의 msDS-Al ow e d ToA ctOn Behalf Other Identity 속성에 ServiceB에 대한 신뢰 관계를 구성하여 ServiceB에 대한 전송위원회파 신뢰를 정의했다.
자원보증위원회 파견: ServiceB의 msDS-Al ow e T A ctOn Behalf Of Other Identity 속성에 ServiceA에 대한 신뢰 관계를 구성하고 ServiceA로부터 전송되는 신뢰 관계를 정의합니다.
중요한 것은 자원 자체가 자신을 위해 자원위원회파의 신뢰 관계를 설정할 수 있고 자원 자체가 누구를 믿을 수 있는지, 누구를 믿을 수 있는지 결정할 수 있다는 것이다.
그 문장에서 일종의 이용 환경을 주었다.
  • 공격자가 T rusted To Auth For Delegation 목표 위치의 계정(ServiceA)을 함락시켰다.
  • 공격자는 하나의 계정을 가지고 이 계정은 서비스B에 대해 권리가 있으며 서비스B에 자원보증위원회 파견을 설정할 수 있다.
  • 그러면 공격자는 서비스B에서 서비스B로의 자원보증위원회 파견을 설정할 수 있다.
  • 공격자는 S4U2Self 아날로그 관리자를 사용하여 역 제어에 전송 가능한 TGS
  • 를 요청한다.
  • 그리고 이전 TGS를 S4U2 Proxy 아날로그 관리자를 통해 서비스 B의 TGS에 접근할 것을 도메인에 요청합니다.
  • 이때 공격자는 서비스 A->서비스B의 TGS를 받았다.
  • Machine AchuntQoda의 실제 사용
  • SPN 계정이 필요합니다. S4U2Self는 SPN이 있는 계정에만 적용되기 때문입니다
  • 목표 기기에 대한 맵이 있는 계정GenericAll,GenericWrite,WriteProperty,WriteDacl 등이 필요합니다.
  • 도메인에 속성 Machine AcountQodo가 있습니다. 이 값은 도메인 사용자가 도메인에서 만들 수 있는 컴퓨터 장부 수를 나타냅니다. 기본값은 10입니다. 이것은 우리가 일반적인 도메인 사용자가 있다면 이 사용자를 이용하여 최대 10개의 새로운 계산 장부를 만들 수 있다는 뜻입니다. 컴퓨터 계정은 주본RestrictedKrbHost/domain과 HOST/domain 두 SPN의그래서 첫 번째는 만족이야.
    그러나 우리는 일반적인 구역만 사용할 때 (Generic All,Generic Write,Write Dacl 등) 서비스를 위해 msDS-Alowed ToAction Behalf Offer Identity 속성을 수정할 권리가 없고 두 번째 조건을 만족시키지 못한다.여기는 보통 중간을 사용하기 때문에 중간 인터페이스를 통해 이 기계의 계정 자신의 msDS-Alowed ToAction Behalf 속성을 수정합니다.
    ateam의 《이것은'다름'의 진실한 침투 테스트 사례 분석 문장이다》에서 자원 기반의 약정위원회에 대한 이용은 매우 고전적이다.
  • 먼저 웹dav의xe를 통해 ntlm 요청을 발송하고 계속 웹dav를 실현한다. 시스템의 권리 제한이기 때문에webdav$ 계정을 손에 넣는다.
  • 그리고 비밀번호를 통해 일반 구역 계정에 뿌렸어요
  • 도메인 계정을 통해 기계 계정 추가evilpc$
  • xe에서 웹dav에서 역 제어를 계속하는ldap를 통해 웹dav달러 기기에 자원 기반의 약정위원회파를 설치한다
  • 그리고 s4u를 통해 evilpc$부터 webdav$까지의 자원 약정 위임 요청이 발생하면 웹dav달러의 tgs가 발생한다.
  • 이전 단계에서 신청한 tgs ptt를 통해webdav$
  • 현지에 환경이 없으니 다시 보충할 기회가 있다.
    참고 자료
    데이커 선생님의 조언에 감사 드립니다.이 물건은 오랫동안 썼지만 다 쓴 후에 잘 모르겠어요. 단지 ateam의 그런 이용 장면을 깨달았을 뿐이에요. 다른 장면이 있는지 없는지 꿰뚫어 보지 못했어요. 나중에 시간이 있으면 와서 다시 한 번 보세요.
  • 이것은'다름'의 진실한 침투 테스트 사례 분석 문장이다
  • https://daiker.gitbook.io/windows-protocol/kerberos/2
  • https://cloud.tencent.com/developer/article/1552171
  • https://shenaniganslabs.io/2019/01/28/Wagging-the-Dog.html
  • https://github.com/Kevin-Robertson/Powermad
  • 좋은 웹페이지 즐겨찾기