Неограниченное делегирование на контроллерах домена включено по умолчанию. Я не встречала такого, чтобы на контроллерах домена его не было. Честно говоря, не знаю к чему может привести его выключение (если это вообще возможно).
Для эксплуатации неограниченного делегирования на контроллере домена необходимо уже быть администратором домена.
Можно было бы попробовать проэксплуатировать уязвимость PrintNigthMare на других хостах. Возможно, удалось бы найти учетные данные или kerberos-билеты админов. Или были бы запущены процессы от администратора домена и можно было бы использовать token impersonation. Или посмотреть что есть в LSA: несколько раз встречала, что сервисы запускаются от имени УЗ, которая является администратором домена, тогда ее пароль можно получить из LSA.
У коллектора Bloodhound есть опция --collectionmethod, которая позволяет выбрать, что собирать. Если указать DCOnly, то будут обращения только к контроллеру домена. Это более "тихий" вариант.
оказывается имея RDP на контроллер домена - можно на нем эксплуатировать дырку из кидди набора в кали линукс
Наличие RDP для эксплуатации PetitPotam не обязательно, ведь эксплуатируется уязвимость в SMB. Или вы считаете, что наличие непривилегированной учетной записи и RDP-сервиса на контроллере домена достаточно для компрометации домена?
С неограниченным делегированием могут быть не только контроллеры домена. На одном из проектов таких хостов было более 10. И локальный администратор на таком хосте не значит администратор домена. А привилегии локального администратора можно получить после эксплуатации какой-нибудь уязвимости, например PrintNightmare.
Спасибо за ваши комментарии! Прочитала материалы по ссылкам про отключение IPv6. Из этих статей поняла, что Microsoft не рекомендует отключать IPv6, потому что не проводились тесты для определения последствий этого действия. Встречали ли вы какие-то статьи, исследования на эту тему? Или может быть встречали на практике, что после отключения IPv6 какие-то компоненты перестают работать? Было бы интересно почитать.
Неограниченное делегирование на контроллерах домена включено по умолчанию. Я не встречала такого, чтобы на контроллерах домена его не было. Честно говоря, не знаю к чему может привести его выключение (если это вообще возможно).
Для эксплуатации неограниченного делегирования на контроллере домена необходимо уже быть администратором домена.
Можно было бы попробовать проэксплуатировать уязвимость PrintNigthMare на других хостах. Возможно, удалось бы найти учетные данные или kerberos-билеты админов. Или были бы запущены процессы от администратора домена и можно было бы использовать token impersonation. Или посмотреть что есть в LSA: несколько раз встречала, что сервисы запускаются от имени УЗ, которая является администратором домена, тогда ее пароль можно получить из LSA.
Да, вы правы. Это был обычный пентест, скрытность не была нужна.
У коллектора Bloodhound есть опция --collectionmethod, которая позволяет выбрать, что собирать. Если указать DCOnly, то будут обращения только к контроллеру домена. Это более "тихий" вариант.
Нет, локальный администратор ca02.domain.local - это не администратор домена.
Ваши комментарии вообще не понятны.
Наличие RDP для эксплуатации PetitPotam не обязательно, ведь эксплуатируется уязвимость в SMB. Или вы считаете, что наличие непривилегированной учетной записи и RDP-сервиса на контроллере домена достаточно для компрометации домена?
С неограниченным делегированием могут быть не только контроллеры домена. На одном из проектов таких хостов было более 10. И локальный администратор на таком хосте не значит администратор домена. А привилегии локального администратора можно получить после эксплуатации какой-нибудь уязвимости, например PrintNightmare.
Завидую вашей силе воли и упорству) Как говорится, главное - захотеть.
Спасибо за ваши комментарии! Прочитала материалы по ссылкам про отключение IPv6. Из этих статей поняла, что Microsoft не рекомендует отключать IPv6, потому что не проводились тесты для определения последствий этого действия. Встречали ли вы какие-то статьи, исследования на эту тему? Или может быть встречали на практике, что после отключения IPv6 какие-то компоненты перестают работать? Было бы интересно почитать.