非约束委派

• 效果
  只有服务或者计算机才能设置非约束委派
  当域用户登录具有非约束委派权限的计算机后，票据会保存在对应的计算机上，从而可以导出缓存票据使用
  有域计算机的权限后直接导出，看当前有哪些票据就行了。不用非得挨个去找有非约束委派权限的计算机，因为找到了还要上去提权才能导出票据，再看有哪些权限的票据。这个直接用qs的-q就行了的。
• 条件
  普通域账号密码或域用户权限
• 操作

先找到哪些计算机或服务具有非约束委派权限

'kali下自带，需要用户名和密码
ldapsearch -x -H ldap://192.168.19.8:389 -D "CN=ddh,CN=Users,DC=tt,DC=com" -w Admin123 -b "DC=tt,DC=com" "(&(userAccountControl:1.2.840.113556.1.4.803:=524288))" |grep -iE "distinguishedName"
'在远程非域计算机上查询需要账号密码
dsquery.exe * -s 192.168.19.8 -u ddh -p Admin123 -filter "(&(userAccountControl:1.2.840.113556.1.4.803:=524288))"
AdFind.exe -h 192.168.19.8 -u ddh -up Admin123 -f "(&(userAccountControl:1.2.840.113556.1.4.803:=524288))" cn operatingSystem distinguishedName
'如果whoami是域用户，则可以不用账号密码
dsquery.exe * -filter "(&(userAccountControl:1.2.840.113556.1.4.803:=524288))"
AdFind.exe -f "(&(userAccountControl:1.2.840.113556.1.4.803:=524288))" cn operatingSystem distinguishedName

找到计算机后，还要有这台计算机的权限，还需要目标用户（如域管理员）登录过后才能抓到票据。

导出和使用参考缓存票据的使用。

还是使用qs进行查询最方便，直接批量跑指定IP，或者所有域计算机（不推荐）。