Hacking Wiki

Notes persos. Il y a probablement beaucoup d'erreurs donc privilégiez des sources plus fiables.

View on GitHub

Kerberos Delegation

La délégation Kerberos permet à un service A d’accéder à un service B en se faisant passer pour un utilisateur. L’utilisateur “délégue” ses droits au service A.

Unconstrained Delegation

Ce type de délégation était le premier et il est toujours présent pour des raisons de rétro-compatibilité. Dans ce mode, l’utilisateur fournit un TGS au service A mais ce TGS contient un TGT pour l’utilisateur. Le service A peut alors utiliser ce TGT pour accéder au service B. Dans la pratique ceci lui permet d’accéder à n’importe quel service en se faisant passer pour l’utilisateur.

Quelques notes:

Références

Constrained Delegation - Traditional (Windows 2003)

Dans sa version classique la “Constrained Delegation” se configure au niveau d’un compte (utilisateur ou ordinateur) via l’attribut msDS-AllowedToDelegateTo. Cet attribut contient une liste de services pour lesquels le compte peut se faire passer pour n’importe quel utilisateur.

Le mécanisme se base sur deux extensions S4U2self (Server for user) et S4U2proxy.:

Il y a ensuite deux possibilités:

Quelques notes:

Plus d’infos S4U2Pwnage

Resource-based Constrained Delegation (Windows 2012)

Dans cette version, c’est le service final (service B) qui indique quels utilisateurs ou ordinateurs sont autorisés à effectuer de la délégation via le champ msDS-AllowedToDelegateTo c’est pas ça le nom du champ yolo.

Quelques notes:

Références

Articles

Interne