Redian新闻
>
RBCD深度利用之烂番茄

RBCD深度利用之烂番茄

科技



1.RBCD简介

本篇文章是在基于资源的约束委派的基础上的一个利用,篇幅会比较短,但个人认为利用面还是挺广泛的。于是就写一下。

首先,需要了解的是RBCD的基础知识:

可以参考我的这本篇文章,如果你还不了解Kerberos,可以看一下这篇

简单回顾一下:


基于资源的约束委派(RBCD)只支持2012及2012以上,它与非约束委派
约束委派有个一个很大的区别,就是不需要管理员去单独配置。RBCD把设置的权限给了计算机本身,那么,既计算机本身可以决定‘我’可以委派谁来控制我,换句话说就是计算机自身可以直接在自己账户上配置msDS-AllowedToActOnBehalfOfOtherIdentity属性来设置RBCD。

2.S4U2Self和S4U2Proxy

既然是RBCD,就一定绕不开两个协议,S4U2Self和S4U2Proxy,这两个协议的作用,主要是解决计算机以自己身份申请票据已达到完成认证的目的。

2.1.S4U2Self

  • • S4U2Self 通过此扩展可以拿到一张标识任意用户身份的ST,使用S4U2Self的原因,是因为,如果用户非Kerberos协议登录网站,那么就涉及到协议转换的问题,因此需要使用S4USelf。如果用户是使用Kerberos协议进行认证并登录该服务器的,那么,在该服务器上会有该用户的ST,就不需要使用S4USelf去申请ST,直接使用该的ST。这个协议的本质,其实是解决协议转换问题。当该用户user使用非Kerberos协议请求Server A的时候,Server A是没有user用户的ST的,但是Server A要去获取Server B的访问权限需要user用户的ST,因此S4U2Self解决了这个问题,Server A服务器可以使用它去向KDC请求一张user身份的ST,Server A服务器再用这张ST去发起S4U2proxy请求。

  • S4U2proxy该拓展作用是使用一张user用户身份的ST去向KDC请求一张用于访问Server B的ST,这张ST的身份还是user用户,这样Server A就可以利用uesr用户的权限去访问Server B上的文件了。

3.msDS-AllowedToActOnBehalfOfOtherIdentity

默认情况下,属性在ldap中是查不到的,需要单独配置才可以。谁配置了msDS-AllowedToActOnBehalfOfOtherIdentity属性,就说明谁配置了RBCD。


msDS-AllowedToActOnBehalfOfOtherIdentity的values是这样的:

O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;serverA的sid)

其中O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO未固定写法,;;;后面为被委派的用户的SID

如上图,values:D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-5199876-230042057-2391242617-1113)

说明:CN=SR,CN=Computers,DC=test,DC=org配置了S-1-5-21-5199876-230042057-2391242617-1113的委派

针对这,可以根据rabbit大佬的思路来理解:配置了msDS-AllowedToActOnBehalfOfOtherIdentity,values指向域内某个用户,就可以理解为,该计算机将鉴定权能力交出去,相当于,该计算机完全信任委派的用户。

按照上图就是:

CN=SR,CN=Computers,DC=test,DC=org配置了S-1-5-21-5199876-230042057-2391242617-1113的委派,就相当于CN=SR,CN=Computers,DC=test,DC=org信任S-1-5-21-5199876-230042057-2391242617-1113

3.1.谁可以配置?

既然知道了配置了RBCD的具体表现以及含义,那么问题来了,谁能修改msDS-AllowedToActOnBehalfOfOtherIdentity的values,准确的来讲,应该是:谁可以添加msDS-AllowedToActOnBehalfOfOtherIdentity的values并修改values

这里直接抛结论:

  • • 机器用户

  • • mS-DS-CreatorSID 账号(mS-DS-CreatorSID的valuse的值对应的objectSid)

4.攻击利用

这里复盘一下攻击步骤:

  • • 第一步,连接域控ldap创建计算机账户xiaolongxia

  • • 第二步,通过ldap协议在域控上设置sr的msds-allowedtoactonbehalfofotheridentity的值为O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;xiaolongxia的sid)

  • • 第三步,使用xiaolongxia凭据拿到一张TGT



该工具集成上面的前三步,唯一不同的是,该工具将所有计算机的msds-allowedtoactonbehalfofotheridentity的值都设置成了新建的机器用户xiaolongxia

PS:这里感谢rabbit师傅提供的工具

• 第四步,使用s4u2self代表administrator拿到一张ST

• 第五步,拿从s4u2self那里获取到的ST作为验证信息再去请求一张用于访问sr机器CIFS spn的ST票据。


• 第六步,提升权限

5.数据包分析



这个数据包,表示第三步:使用xiaolongxia





这里表示,通过s4u2self代表administrator拿到一张ST,对自己进行请求。



拿到的ST是由xiaolongxia的hash加密,s4u2self这个步骤作用是xiaolongxia拿自己的tgt票据请求一张访问xiaolongxia的ST,且该ST的身份是administrator,而这张ST是用xiaolongxia



最后一步,我们拿从s4u2self那里获取到的ST作为验证信息再去请求一张用于访问sr机器CIFS spn的ST票据,也就是s4u2proxy这一步。

6.攻击面

  • • 企业可能会有一个专门的账号,用来拉新用户加入域,该账号通常只有普通域用户权限,如果我们控制了这个账户呢?

  • • 当我们渗透进入一个域环境,发现并没有足够的权限扩,行动有限,那么我们可以查看,当前机器是谁拉进来的,如果我们能控制该用户呢?

  • • 一个域用户X可能会在域中创建多台机器(比如笔记本和台式机都需要加入域),当我们有了改用户的权限时,可以利用RBCD继续攻击其他mS-DS-CreatorSID是该域用户的机器。



E

N

D



Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、系统安全、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。

团队作为“省级等保关键技术实验室”先后与哈工大、齐鲁银行、聊城大学、交通学院等多个高校名企建立联合技术实验室,近三年来在网络安全技术方面开展研发项目60余项,获得各类自主知识产权30余项,省市级科技项目立项20余项,研究成果应用于产品核心技术研究、国家重点科技项目攻关、专业安全服务等。对安全感兴趣的小伙伴可以加入或关注我们。


微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
百盈:从园区运营到CDMO,专注医疗器械产业卖水人的16年埃隆马斯克能阻止在家工作的浪潮?DPOHUB第八期暨CDPO迎新沙龙:技术与数据合规 | 专题闭门会通货膨胀及气候影响,未来番茄酱一罐难求6.26 | 拿起鱼竿,一起探索Cape Cod深海美味吧!娃床边放这个东西,睡得更香?专家提醒:用之前要注意3点【国际】意大利遭遇历史性干旱,橄榄油、大米、番茄价格可能飞涨美国CDC:1/5中青年、1/4老年COVID-19患者出现后遗症丨急性肺栓塞的危险比最高恭喜!DBC职梦NYU本科学员拿下2023 CIBC (US) IBD暑期实习Offer一季度利润只有8亿,比亚迪靠什么撑起万亿市值?加国RBC面试官:请推荐一本最近读过的书看到上海一则新闻后的感受维生素C是番茄的7倍!有菜、有肉、有主食,它才是真正的早餐天花板重磅 ◇ 9月7日加拿大75万房奴触发利率!RBC承认:部分借款人要出大事!合成生物,用之不竭的新石油?想起曾經的女房東(2)现有的亨氏番茄酱、巴宝莉、川宁茶…随着女王去世或将成为“绝版”?!在美国,枪的自由和约束一年一度欧洲番茄大战来了!在街头洗番茄浴是什么体验?一秒变身西虹市首富重磅 ◇ 海外买家抄底温哥华!BC独立屋被砍32万成交!BC空置税扩大范围恭喜!DBC职梦IC学员,成功拿下顶级商行HSBC实习Offer!重磅 ◇ BC公寓深陷“投资危机”!RBC作出最悲观预测!央行暗示继续加息喜讯!BC这波疫情已过顶,住院跌至新低,CDC推最新指南慢生活日记:住花园洋房,享田园生活注意:加州13个县又重新进入了CDC的“高”传播COVID类别6个番茄不如1个它!建议每周给娃吃几次,帮助提高免疫力DBC职梦大二学员,已收到HSBC (UK) Spring Week一面邀请!海普瑞深度:肝素全球龙头短期利差扩大,长期积极拓宽大分子CDMO+创新药领域!【东吴医药朱国广团队】湾区多县被 CDC 列为疫情最严重类别,部分地区恢复室内口罩令BC省政府正在投资 1000 万加元,发展 BC 省制造解决方案,以减少塑料污染并创造新产品天宇股份深度:原料药触底反弹,CDMO、制剂打开业绩天花板!【东吴医药朱国广团队】做梦也想不到,有生之年我会cos成番茄BCG中国区2023校园招聘 | 加入BCG,开启梦想之旅啥情况?加国多省人要搬来BC,本地人温馨警告:BC=Bring Cash投资者正撤离 RBC警告加国房市将历史性重大调整
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。