33约束性委派攻击

## 委派设置

约束性委派的设置分为两种：

1. 仅使用Kerberos

2. 可以使用任何身份协议

![](https://oss.maolin101.com/202501061842358.png-101.webp)

约束性委派需要指定委派的机器和协议必须设置

![](https://oss.maolin101.com/202501061842359.png-101.webp)

> 设置对象

约束性委派在域控上设置的对象分为两种

1、机器账户

![](https://oss.maolin101.com/202501061842360.png-101.webp)

2、注册了SPN的域用户

![](https://oss.maolin101.com/202501061842361.png-101.webp)

> 约束性委派模型

![](https://oss.maolin101.com/202501061842362.png-101.webp)

## 流量分析

> 当前环境

在zhong-PC计算机中设置了约束性委派，然后访问zhangsan-PC的CIFS服务

必须要勾选使用任何身份验证协议

![](https://oss.maolin101.com/202501061842363.png-101.webp)

```
选择"仅使用kerberos"，即选择constrained delegation权限(S4U2Proxy)。

该选项下的"使用任何身份验证协议"则是protocol transition权限(S4U2self)。
```

![](https://oss.maolin101.com/202501061842364.png-101.webp)

使用Rubeus.exe工具完成

```
Rubeus.exe s4u /user:SERVER-16$ /rc4:9aac8b558918b3c18afc9f8182011376 /domain:xbxaq.com /msdsspn:CIFS/zhangsan.xbxaq.com /impersonateuser:administrator /ptt
```

- user：设置委派计算机的机器用户
- rc4：user账户的hash值
- doamin：域名
- msdsspn：访问的目标的服务地址
- impersonateuser：需要委派的用户

![](https://oss.maolin101.com/202501061842365.png-101.webp)

这个工具发送命令后，共有6个kerberos数据包

![](https://oss.maolin101.com/202501061842366.png-101.webp)

>  第一条数据 AS-REQ

第一条数据包为当前计算机的机器用户身份信息，请求自己的TGT，请求的这个TGT是可以转发的。

![](https://oss.maolin101.com/202501061842367.png-101.webp)

该TGT是可以转发的

![](https://oss.maolin101.com/202501061842368.png-101.webp)

> 第二条数据 AS-REP

该条数据返回的是SERVER-16$用户的TGT票据（可以转发的TGT）

![](https://oss.maolin101.com/202501061842369.png-101.webp)

> 第三条数据 TGS-REQ

该条数据包是利用上一步得到的SERVER-16$的TGT（在数据包内），然后以administrator身份向TGS申请 一个自身的票据（ST），这里使用的是S4U2Self协议。

![](https://oss.maolin101.com/202501061842370.png-101.webp)

> 第四条数据 TGS-REP

该数据包为返回给该机器一张administrator用户访问本计算机的ST票据

![](https://oss.maolin101.com/202501061842371.png-101.webp)

> 第五条数据 TGS-REQ

SERVER-16$用户得到ST票据之后，以该ST票据作为证据，向TGS申请一张administrator用户访问zhangsan-PC的CIFS服务的ST票据

![](https://oss.maolin101.com/202501061842372.png-101.webp)

> 第六条数据 TGS-REP

返回给本计算机，以administrator用户身份访问zhangsan-PC的CIFS票据

![](https://oss.maolin101.com/202501061842373.png-101.webp)

## 存在的问题解决

1. 服务账号B可以代表用户A向KDC申请访问B的票据，那么服务账号B能否代表域内管理员向KDC申请访问B的票据呢？
   在这个过程中，不需要域内管理员的参与，在服务账号B自身就可以完成

2. 服务账号B可以代表用户A向KDC申请访问C的票据，那么服务账号B能否代表域内管理员向KDC申请访问C的票据呢？

在这个过程中，不需要域内管理员的参与，在服务账号B自身就可以完成

> 问题解决

- 只需要知道服务账户的密码或者hash值就可以申请任意用户访问自身的票据（ST1票据）
- 使用ST1票据就可以申请任意用户访问委派的目标服务的票据（ST2）

> 约束性委派攻击的前提

1. 知道设置约束性委派的用户名和密码（或者hash值）
2. 知道设置约束性委派设置的委派目标的SPN

> 约束性委派攻击分为两步

- 利用设置约束性委派的用户名申请ST
- 利用ST1去申请ST2（任意用户的，一般是域管理员）

## 查询已配置账户

> adfind

查询约束性委派服务账号

```
AdFind.exe -b "DC=xbxaq,DC=com" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" cn distinguishedName msds-allowedtodelegateto
```

![](https://oss.maolin101.com/202501061842374.png-101.webp)

> PowerView.ps1

查询约束性委派的机器账户

```
Get-DomainComputer -TrustedToAuth -domain 域名 -Properties distinguishedname,msds-allowedtodelegateto|ft -Wrap -AutoSize
```

![](https://oss.maolin101.com/202501061842375.png-101.webp)

查询约束性委派的服务账户

```
Get-DomainUser -TrustedToAuth -domain 域名 -Properties distinguishedname,msds-allowedtodelegateto|fl
```

![](https://oss.maolin101.com/202501061842376.png-101.webp)