域委派攻击的详细解析是怎样的?
- 内容介绍
- 文章标签
- 相关推荐
本文共计6999个文字,预计阅读时间需要28分钟。
域委派是指将域内用户的权限委派给服务账号,使服务账号能够以用户身份访问域内的其他服务。简言之,当A访问服务B时,B持有A的用户凭证去访问服务C。
什么是域委派域委派是指将域内用户的权限委派给服务账号,使得服务账号能以用户权限访问域内的其他服务。简言之:当A访问服务B时,服务B拿着A用户的凭证去访问服务C,这个过程称为委派。
域委派是大型网络中经常部署的应用模式,给多跳认证带来了很大的便利,但是与此同时也带来了很大的安全隐患,利用委派,攻击者可获取本地管理员甚至域管理员权限,还可以制作深度隐藏的后门。
域用户 yokan\justtest 以 kerberos 身份验证访问 Web 服务器,请求下载文件。但是真正的文件在后台的文件服务器上。于是,Web服务器的服务账号websrv模拟域用户yokan\justtest,以kerberos协议继续认证到后台文件服务器。后台文件服务器将文件返回给Web服务器,Web服务器将文件返回给域用户yokan\justtest。这样,就完成了一个委派的流程。
委派的分类非约束性委派(Unconstrained Delegation )
约束性委派( Constrained Delegation)
基于资源的约束性委派(RBCD: Resource Based Constrained Delegation)
委派的前提在域内只有主机账号和服务账号才有委派属性。主机账号:活动目录中的computers组内的计算机,也被称为机器账号。服务账号:域内用户的一种类型,是服务器运行服务时所用的账号,将服务运行起来加入域内,比如:SQLServer,MYSQL等;域用户通过注册SPN也能成为服务账号。
本文共计6999个文字,预计阅读时间需要28分钟。
域委派是指将域内用户的权限委派给服务账号,使服务账号能够以用户身份访问域内的其他服务。简言之,当A访问服务B时,B持有A的用户凭证去访问服务C。
什么是域委派域委派是指将域内用户的权限委派给服务账号,使得服务账号能以用户权限访问域内的其他服务。简言之:当A访问服务B时,服务B拿着A用户的凭证去访问服务C,这个过程称为委派。
域委派是大型网络中经常部署的应用模式,给多跳认证带来了很大的便利,但是与此同时也带来了很大的安全隐患,利用委派,攻击者可获取本地管理员甚至域管理员权限,还可以制作深度隐藏的后门。
域用户 yokan\justtest 以 kerberos 身份验证访问 Web 服务器,请求下载文件。但是真正的文件在后台的文件服务器上。于是,Web服务器的服务账号websrv模拟域用户yokan\justtest,以kerberos协议继续认证到后台文件服务器。后台文件服务器将文件返回给Web服务器,Web服务器将文件返回给域用户yokan\justtest。这样,就完成了一个委派的流程。
委派的分类非约束性委派(Unconstrained Delegation )
约束性委派( Constrained Delegation)
基于资源的约束性委派(RBCD: Resource Based Constrained Delegation)
委派的前提在域内只有主机账号和服务账号才有委派属性。主机账号:活动目录中的computers组内的计算机,也被称为机器账号。服务账号:域内用户的一种类型,是服务器运行服务时所用的账号,将服务运行起来加入域内,比如:SQLServer,MYSQL等;域用户通过注册SPN也能成为服务账号。