- 效果
只有服务或者计算机才能设置非约束委派
当域用户登录具有非约束委派权限的计算机后,票据会保存在对应的计算机上,从而可以导出缓存票据使用
有域计算机的权限后直接导出,看当前有哪些票据就行了。不用非得挨个去找有非约束委派权限的计算机,因为找到了还要上去提权才能导出票据,再看有哪些权限的票据。这个直接用qs的-q就行了的。 - 条件
普通域账号密码或域用户权限 - 操作
先找到哪些计算机或服务具有非约束委派权限
'kali下自带,需要用户名和密码
ldapsearch -x -H ldap://192.168.19.8:389 -D "CN=ddh,CN=Users,DC=tt,DC=com" -w Admin123 -b "DC=tt,DC=com" "(&(userAccountControl:1.2.840.113556.1.4.803:=524288))" |grep -iE "distinguishedName"
'在远程非域计算机上查询需要账号密码
dsquery.exe * -s 192.168.19.8 -u ddh -p Admin123 -filter "(&(userAccountControl:1.2.840.113556.1.4.803:=524288))"
AdFind.exe -h 192.168.19.8 -u ddh -up Admin123 -f "(&(userAccountControl:1.2.840.113556.1.4.803:=524288))" cn operatingSystem distinguishedName
'如果whoami是域用户,则可以不用账号密码
dsquery.exe * -filter "(&(userAccountControl:1.2.840.113556.1.4.803:=524288))"
AdFind.exe -f "(&(userAccountControl:1.2.840.113556.1.4.803:=524288))" cn operatingSystem distinguishedName
找到计算机后,还要有这台计算机的权限,还需要目标用户(如域管理员)登录过后才能抓到票据。
导出和使用参考缓存票据的使用。
还是使用qs进行查询最方便,直接批量跑指定IP,或者所有域计算机(不推荐)。