Unconstrained delegation
Descripci贸n
La delegaci贸n es el acto de dar a alguien autoridad o responsabilidad para hacer algo en nombre de otra persona. En Active Directory, la delegaci贸n es una caracter铆stica que permite que cuentas espec铆ficas (usuario o computadora) se hagan pasar por otras cuentas para acceder a servicios particulares en la red.
Unconstrained delegation es un privilegio que los administradores de dominio pueden asignar a una computadora o un usuario del dominio.
El controlador de dominio coloca el TGT (Ticket Granting Ticket) del usuario dentro del TGS (Ticket Granting Service) solicitado por 茅l. Cuando el TGS se presenta al servidor que tiene el privilegio de unconstrained delegation este extrae el TGT del usuario desde el TGS y el servidor almacena en su memoria el TGT. De esta forma, el servidor puede reutilizar el TGT del usuario para acceder a cualquier otro recurso como el usuario.
Un atacante con acceso al servidor podr铆a volcar todos los TGT de los usuarios que se encuentren almacenados en la memoria del servidor.
Windows
1) Obtener servidores con privilegio de unconstrained delegation.
2) Acceso a servidor con privilegio de unconstrained delegation y obtenci贸n de TGT (Ticket Granting Ticket) almacenados en memoria.
3) Realizaci贸n de Pass the Ticket (PtT).
脷ltima actualizaci贸n