01、简介
攻击者在获取到域控权限后 ， 可以利用基于资源的约束委派实现后门 ， 通过对用户设置委派属性 ， 以实现达到维持权限的目的 。基于AD Event日志监测msDS-属性的修改 ， 从而发现可疑的基于资源的约束委派攻击 。
【基于AD Event日志监测基于资源的约束委派攻击】02、利用方式
(1)设置属性值并查询
Set-ADUser krbtgt -PrincipalsAllowedToDelegateToAccount testGet-ADUser krbtgt -Properties PrincipalsAllowedToDelegateToAccount
(2)获取ST ， 并使用登录域控
python getST.py -dc-ip 192.168.44.136 -spn krbtgt -impersonate administrator evil.com/test:abc123!set KRB5CCNAME=administrator.ccachepython wmiexec.py -no-pass -k administrator@win-dc01 -dc-ip 192.168.44.136
03、检测方法
攻击手法的核心点在于攻击者需要修改msDS-属性 ， 因此我们只需要检测对msDS-属性的修改 ， 可以通过5136日志来监控 。

文章插图
5136事件：每次修改对象时 ， 都会生成此事件 ， 包含帐户名称、目录服务对象名称、属性和操作类型 。
安全规则：
index=ad EventCode=5136"LDAP 显示名称"="msDS-AllowedToActOnBehalfOfOtherIdentity"| rename 类型 as type | eval type=mvindex(type,1)| stats min(_time) asstart_time max(_time) as end_time count by ComputerName user DN type| eval start_time=strftime(start_time,"%Y-%m-%d %H:%M:%S")| eval end_time=strftime(end_time,"%Y-%m-%d %H:%M:%S") | eval message="在"+start_time+"到"+end_time+"时间内 ， 服务器:"+ComputerName +"疑似遭基于资源的约束委派攻击"+count+"次 ， 操作账号:"+user+" 操作对象："+DN+" 操作类型："+type| table start_time end_time usermessage
效果如下：

• 【毕业设计】基于Stm32的智能疫情防控门禁系统 - 单片机 嵌入式 物联网
• 何时使用基于CRDT的数据库
• [论文阅读]PKD——基于Pearson相关系数的目标检测器通用蒸馏框架
• 12层的bert参数量_EMNLP 2019 | BERTPKD：一种基于PKD
• matlab非刚性配准,基于图像特征和Demons的非刚性图像配准方法与流程
• 【图像分割】基于Kmean聚类实现乳腺肿瘤分割附matlab代码
• 基于stm32的多功能智能行李箱-开题报告
• 《Java 编写基于 Netty 的 RPC 框架》
• 基于组织角色的权限设计
• Python+Flask+Mysql基于python环境下智能物业管理系统296