• 效果
      只有服务或者计算机才能设置非约束委派
      当域用户登录具有非约束委派权限的计算机后,票据会保存在对应的计算机上,从而可以导出缓存票据使用
      有域计算机的权限后直接导出,看当前有哪些票据就行了。不用非得挨个去找有非约束委派权限的计算机,因为找到了还要上去提权才能导出票据,再看有哪些权限的票据。这个直接用qs的-q就行了的。
    • 条件
      普通域账号密码或域用户权限
    • 操作

    先找到哪些计算机或服务具有非约束委派权限

    1. 'kali下自带,需要用户名和密码
    2. ldapsearch -x -H ldap://192.168.19.8:389 -D "CN=ddh,CN=Users,DC=tt,DC=com" -w Admin123 -b "DC=tt,DC=com" "(&(userAccountControl:1.2.840.113556.1.4.803:=524288))" |grep -iE "distinguishedName"
    3. '在远程非域计算机上查询需要账号密码
    4. dsquery.exe * -s 192.168.19.8 -u ddh -p Admin123 -filter "(&(userAccountControl:1.2.840.113556.1.4.803:=524288))"
    5. AdFind.exe -h 192.168.19.8 -u ddh -up Admin123 -f "(&(userAccountControl:1.2.840.113556.1.4.803:=524288))" cn operatingSystem distinguishedName
    6. '如果whoami是域用户,则可以不用账号密码
    7. dsquery.exe * -filter "(&(userAccountControl:1.2.840.113556.1.4.803:=524288))"
    8. AdFind.exe -f "(&(userAccountControl:1.2.840.113556.1.4.803:=524288))" cn operatingSystem distinguishedName

    非约束委派 - 图1

    找到计算机后,还要有这台计算机的权限,还需要目标用户(如域管理员)登录过后才能抓到票据。

    导出和使用参考缓存票据的使用。

    还是使用qs进行查询最方便,直接批量跑指定IP,或者所有域计算机(不推荐)。

    image.png