Usando esto, un administrador de dominio puede permitir que una computadora se haga pasar por un usuario o computadora contra un servicio de una máquina.
* **Servicio para el usuario a sí mismo (**_**S4U2self**_**):** Si una cuenta de servicio tiene un valor _userAccountControl_ que contiene [TRUSTED\_TO\_AUTH\_FOR\_DELEGATION](https://msdn.microsoft.com/en-us/library/aa772300\(v=vs.85\).aspx) (T2A4D), entonces puede obtener un TGS para sí mismo (el servicio) en nombre de cualquier otro usuario.
* **Servicio para el usuario a través de proxy (**_**S4U2proxy**_**):** Una cuenta de servicio podría obtener un TGS en nombre de cualquier usuario para el servicio establecido en **msDS-AllowedToDelegateTo.** Para hacerlo, primero necesita un TGS de ese usuario para sí mismo, pero puede usar S4U2self para obtener ese TGS antes de solicitar el otro.
Esto significa que si comprometes el hash del servicio, puedes hacerse pasar por usuarios y obtener acceso en su nombre al servicio configurado (posible **privesc**).
Además, no solo tendrás acceso al servicio que el usuario puede hacerse pasar, sino también a cualquier servicio, porque no se está comprobando el SPN (el nombre del servicio solicitado), solo los privilegios. Por lo tanto, si tienes acceso al servicio **CIFS**, también puedes tener acceso al servicio **HOST** usando la bandera `/altservice` en Rubeus.
Existen **otras formas de obtener un ticket TGT** o el **RC4** o **AES256** sin ser SYSTEM en la computadora, como el Printer Bug y la delegación no restringida, el reenvío de NTLM y el abuso del servicio de certificados de Active Directory.
Kekeo es una herramienta que permite la creación de tickets Kerberos y la realización de ataques de Constrained Delegation. Mimikatz, por otro lado, es una herramienta que permite la extracción de credenciales de Windows. Juntos, pueden ser utilizados para realizar ataques de Constrained Delegation en entornos de Active Directory.
Para realizar un ataque de Constrained Delegation con kekeo y Mimikatz, primero se debe obtener acceso a una cuenta de usuario con permisos de Constrained Delegation. Luego, se puede utilizar kekeo para crear un ticket Kerberos para el servicio al que se desea acceder. Finalmente, se puede utilizar Mimikatz para extraer las credenciales del ticket Kerberos y utilizarlas para acceder al servicio.
Es importante tener en cuenta que este tipo de ataque puede ser detectado por soluciones de seguridad de Active Directory, por lo que se recomienda utilizarlo con precaución y solo en entornos controlados y autorizados.
[**Más información en ired.team.**](https://www.ired.team/offensive-security-experiments/active-directory-kerberos-abuse/abusing-kerberos-constrained-delegation)
- ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
- **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
- **Comparte tus trucos de hacking enviando PR al [repositorio de hacktricks](https://github.com/carlospolop/hacktricks) y al [repositorio de hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.