文章总结： 本文系统分析AD委派攻击的三种类型（非约束委派、约束委派、RBCD），揭示其作为域控攻击路径的严重风险。关键发现包括非约束委派可窃取TGT令牌、约束委派通过S4U扩展滥用权限、RBCD依赖ACL配置弱点。防御建议：禁用非约束委派、最小化约束委派权限、启用RBCD并严格管理资源ACL。 综合评分： 87 文章分类： 渗透测试,内网渗透,漏洞分析,安全建设,解决方案

AD委派攻击三部曲：从非约束委派到RBCD，一条被低估的域控攻击路径

原创

极客零零七 极客零零七

极客零零七

2026年4月10日 14:31 加拿大

在小说阅读器读本章

去阅读

极客零零七 · AD攻击系列 · 第5篇

在所有AD攻击技术中，委派攻击（Delegation Attack）是最被低估的一类。原因是它的概念理解门槛较高，涉及Kerberos扩展协议的细节。但在实际渗透测试中，委派配置错误是通往域控的高频路径——因为管理员往往在不完全理解后果的情况下启用委派。

本文把三种委派攻击（非约束委派、约束委派、基于资源的约束委派RBCD）讲透，每种都配完整的攻击流程和真实场景。

一、为什么需要委派？

考虑这个场景：用户访问一个Web应用，Web应用需要以该用户的身份去访问后端SQL数据库。问题来了——Web服务器如何代表用户去认证SQL服务器？

Kerberos委派就是解决这个问题的机制：允许一个服务”代表”用户去访问另一个服务。

用户 → Web服务器 → （以用户身份）→ SQL数据库         ↑ 这里需要委派

三种委派机制代表了三个演进阶段：

| 类型 | 引入版本 | 控制粒度 | 配置位置 | 安全性 | | — | — | — | — | — | | 非约束委派 (Unconstrained) | Win2000 | 无限制 | 服务账户属性 | 极危险 | | 约束委派 (Constrained) | Win2003 | 指定目标服务 | 服务账户属性 | 中等 | | RBCD (Resource-Based) | Win2012 | 指定允许的来源 | 目标资源属性 | 取决于ACL |

二、非约束委派：敞开的后门

原理

当一个服务账户被配置为”信任此账户来委派任何服务”（Unconstrained Delegation），任何用户访问该服务时，其完整的TGT会被缓存在服务所在机器的内存中。

这意味着：攻击者控制了一台配置了非约束委派的机器后，可以获取所有访问过该机器的用户的TGT——包括Domain Admin的TGT。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：极客零零七 极客零零七 极客零零七《AD委派攻击三部曲：从非约束委派到RBCD，一条被低估的域控攻击路径》