mirror of
https://github.com/carlospolop/hacktricks
synced 2024-12-21 10:33:36 +00:00
216 lines
13 KiB
Markdown
216 lines
13 KiB
Markdown
|
# FreeIPA Pentesting
|
||
|
|
||
|
{% hint style="success" %}
|
||
|
Aprenda e pratique Hacking AWS:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
|
||
|
Aprenda e pratique Hacking GCP: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
|
||
|
|
||
|
<details>
|
||
|
|
||
|
<summary>Support HackTricks</summary>
|
||
|
|
||
|
* Confira os [**planos de assinatura**](https://github.com/sponsors/carlospolop)!
|
||
|
* **Junte-se ao** 💬 [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga**-nos no **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
|
||
|
* **Compartilhe truques de hacking enviando PRs para o** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
|
||
|
|
||
|
</details>
|
||
|
{% endhint %}
|
||
|
|
||
|
## Informações Básicas
|
||
|
|
||
|
FreeIPA é uma **alternativa** de código aberto ao **Active Directory** da Microsoft, principalmente para ambientes **Unix**. Ele combina um **diretório LDAP** completo com um Centro de Distribuição de Chaves **Kerberos** da MIT para gerenciamento semelhante ao Active Directory. Utilizando o **Sistema de Certificados** Dogtag para gerenciamento de certificados CA e RA, suporta autenticação **multifatorial**, incluindo cartões inteligentes. O SSSD está integrado para processos de autenticação Unix.
|
||
|
|
||
|
## Impressões Digitais
|
||
|
|
||
|
### Arquivos e Variáveis de Ambiente
|
||
|
|
||
|
* O arquivo em `/etc/krb5.conf` é onde as informações do cliente Kerberos, necessárias para o registro no domínio, são armazenadas. Isso inclui locais de KDCs e servidores administrativos, configurações padrão e mapeamentos.
|
||
|
* As configurações padrão para clientes e servidores IPA são definidas no arquivo localizado em `/etc/ipa/default.conf`.
|
||
|
* Hosts dentro do domínio devem ter um arquivo `krb5.keytab` em `/etc/krb5.keytab` para processos de autenticação.
|
||
|
* Várias variáveis de ambiente (`KRB5CCNAME`, `KRB5_KTNAME`, `KRB5_CONFIG`, `KRB5_KDC_PROFILE`, `KRB5RCACHETYPE`, `KRB5RCACHEDIR`, `KRB5_TRACE`, `KRB5_CLIENT_KTNAME`, `KPROP_PORT`) são usadas para apontar para arquivos e configurações específicas relevantes para a autenticação Kerberos.
|
||
|
|
||
|
### Binários
|
||
|
|
||
|
Ferramentas como `ipa`, `kdestroy`, `kinit`, `klist`, `kpasswd`, `ksu`, `kswitch` e `kvno` são centrais para gerenciar domínios FreeIPA, lidando com tickets Kerberos, alterando senhas e adquirindo tickets de serviço, entre outras funcionalidades.
|
||
|
|
||
|
### Rede
|
||
|
|
||
|
Uma ilustração é fornecida para representar uma configuração típica de servidor FreeIPA.
|
||
|
|
||
|
## Autenticação
|
||
|
|
||
|
A autenticação no FreeIPA, aproveitando o **Kerberos**, espelha a do **Active Directory**. O acesso aos recursos do domínio requer um ticket Kerberos válido, que pode ser armazenado em vários locais dependendo da configuração do domínio FreeIPA.
|
||
|
|
||
|
### **Arquivos de Ticket CCACHE**
|
||
|
|
||
|
Os arquivos CCACHE, armazenados tipicamente em **`/tmp`** com permissões **600**, são formatos binários para armazenar credenciais Kerberos, importantes para autenticação sem a senha em texto claro do usuário devido à sua portabilidade. A análise de um ticket CCACHE pode ser feita usando o comando `klist`, e reutilizar um Ticket CCACHE válido envolve exportar `KRB5CCNAME` para o caminho do arquivo do ticket.
|
||
|
|
||
|
### **Keyring Unix**
|
||
|
|
||
|
Alternativamente, os Tickets CCACHE podem ser armazenados no keyring do Linux, oferecendo mais controle sobre o gerenciamento de tickets. O escopo do armazenamento de tickets varia (`KEYRING:name`, `KEYRING:process:name`, `KEYRING:thread:name`, `KEYRING:session:name`, `KEYRING:persistent:uidnumber`), com `klist` capaz de analisar essas informações para o usuário. No entanto, reutilizar um Ticket CCACHE do keyring Unix pode apresentar desafios, com ferramentas como **Tickey** disponíveis para extrair tickets Kerberos.
|
||
|
|
||
|
### Keytab
|
||
|
|
||
|
Os arquivos keytab, contendo princípios Kerberos e chaves criptografadas, são críticos para obter tickets de concessão de tickets válidos (TGT) sem precisar da senha do princípio. A análise e reutilização de credenciais de arquivos keytab podem ser facilmente realizadas com utilitários como `klist` e scripts como **KeytabParser**.
|
||
|
|
||
|
### Cheatsheet
|
||
|
|
||
|
Você pode encontrar mais informações sobre como usar tickets no linux no seguinte link:
|
||
|
|
||
|
{% content-ref url="privilege-escalation/linux-active-directory.md" %}
|
||
|
[linux-active-directory.md](privilege-escalation/linux-active-directory.md)
|
||
|
{% endcontent-ref %}
|
||
|
|
||
|
## Enumeração
|
||
|
|
||
|
{% hint style="warning" %}
|
||
|
Você pode realizar a **enumeração** via **ldap** e outras ferramentas **binárias**, ou **conectando-se à página da web na porta 443 do servidor FreeIPA**.
|
||
|
{% endhint %}
|
||
|
|
||
|
### Hosts, Usuários e Grupos <a href="#id-4b3b" id="id-4b3b"></a>
|
||
|
|
||
|
É possível criar **hosts**, **usuários** e **grupos**. Hosts e usuários são organizados em contêineres chamados “**Grupos de Hosts**” e “**Grupos de Usuários**”, respectivamente. Estes são semelhantes às **Unidades Organizacionais** (OU).
|
||
|
|
||
|
Por padrão no FreeIPA, o servidor LDAP permite **vínculos anônimos**, e uma grande quantidade de dados é enumerável **não autenticada**. Isso pode enumerar todos os dados disponíveis não autenticados:
|
||
|
```
|
||
|
ldapsearch -x
|
||
|
```
|
||
|
Para obter **mais informações**, você precisa usar uma sessão **autenticada** (verifique a seção de Autenticação para aprender como preparar uma sessão autenticada).
|
||
|
```bash
|
||
|
# Get all users of domain
|
||
|
ldapsearch -Y gssapi -b "cn=users,cn=compat,dc=domain_name,dc=local"
|
||
|
|
||
|
# Get users groups
|
||
|
ldapsearch -Y gssapi -b "cn=groups,cn=accounts,dc=domain_name,dc=local"
|
||
|
|
||
|
# Get all the hosts
|
||
|
ldapsearch -Y gssapi -b "cn=computers,cn=accounts,dc=domain_name,dc=local"
|
||
|
|
||
|
# Get hosts groups
|
||
|
ldapsearch -Y gssapi -b "cn=hostgroups,cn=accounts,dc=domain_name,dc=local"
|
||
|
```
|
||
|
De uma máquina unida ao domínio, você poderá usar **binaries instalados** para enumerar o domínio:
|
||
|
```bash
|
||
|
ipa user-find
|
||
|
ipa usergroup-find
|
||
|
ipa host-find
|
||
|
ipa host-group-find
|
||
|
|
||
|
-------------------
|
||
|
|
||
|
ipa user-show <username> --all
|
||
|
ipa usergroup-show <user group> --all
|
||
|
ipa host-find <host> --all
|
||
|
ipa hostgroup-show <host group> --all
|
||
|
```
|
||
|
{% hint style="info" %}
|
||
|
O usuário **admin** do **FreeIPA** é o equivalente aos **administradores de domínio** do **AD**.
|
||
|
{% endhint %}
|
||
|
|
||
|
### Hashes <a href="#id-482b" id="id-482b"></a>
|
||
|
|
||
|
O usuário **root** do servidor **IPA** tem acesso aos **hashes** de senha.
|
||
|
|
||
|
* O hash de senha de um usuário é armazenado como **base64** no atributo “**userPassword**”. Esse hash pode ser **SSHA512** (versões antigas do FreeIPA) ou **PBKDF2\_SHA256**.
|
||
|
* O **Nthash** da senha é armazenado como **base64** em “**ipaNTHash**” se o sistema tiver **integração** com **AD**.
|
||
|
|
||
|
Para quebrar esses hashes:
|
||
|
|
||
|
• Se o FreeIPA estiver integrado com o AD, o **ipaNTHash** é fácil de quebrar: Você deve **decodificar** **base64** -> re-encodificá-lo como **ASCII** hex -> John The Ripper ou **hashcat** podem ajudá-lo a quebrá-lo rapidamente.
|
||
|
|
||
|
• Se uma versão antiga do FreeIPA for usada, então **SSHA512** é utilizado: Você deve decodificar **base64** -> encontrar o **hash** SSHA512 -> John The Ripper ou **hashcat** podem ajudá-lo a quebrá-lo.
|
||
|
|
||
|
• Se uma nova versão do FreeIPA for usada, então **PBKDF2\_SHA256** é utilizado: Você deve decodificar **base64** -> encontrar PBKDF2\_SHA256 -> seu **tamanho** é 256 bytes. John pode trabalhar com 256 bits (32 bytes) -> SHA-265 é usado como a função pseudo-aleatória, o tamanho do bloco é 32 bytes -> você pode usar apenas os primeiros 256 bits do nosso hash PBKDF2\_SHA256 -> John The Ripper ou hashcat podem ajudá-lo a quebrá-lo.
|
||
|
|
||
|
<figure><img src="../.gitbook/assets/image (655).png" alt=""><figcaption></figcaption></figure>
|
||
|
|
||
|
Para extrair os hashes, você precisa ser **root no servidor FreeIPA**, onde você pode usar a ferramenta **`dbscan`** para extraí-los:
|
||
|
|
||
|
<figure><img src="../.gitbook/assets/image (293).png" alt=""><figcaption></figcaption></figure>
|
||
|
|
||
|
### HBAC-Rules <a href="#id-482b" id="id-482b"></a>
|
||
|
|
||
|
Existem regras que concedem permissões específicas a usuários ou hosts sobre recursos (hosts, serviços, grupos de serviços...)
|
||
|
```bash
|
||
|
# Enumerate using ldap
|
||
|
ldapsearch -Y gssapi -b "cn=hbac,dc=domain_name,dc=local"
|
||
|
# Using ipa
|
||
|
ipa hbacrule-find
|
||
|
# Show info of rule
|
||
|
ipa hbacrule-show <hbacrule> --all
|
||
|
```
|
||
|
#### Sudo-Rules
|
||
|
|
||
|
FreeIPA permite o controle centralizado sobre **sudo permissions** através de sudo-rules. Essas regras permitem ou limitam a execução de comandos com sudo em hosts dentro do domínio. Um atacante poderia potencialmente identificar os hosts aplicáveis, usuários e comandos permitidos examinando esses conjuntos de regras.
|
||
|
```bash
|
||
|
# Enumerate using ldap
|
||
|
ldapsearch -Y gssapi -b "cn=sudorules,cn=sudo,dc=domain_name,dc=local"
|
||
|
# Using ipa
|
||
|
ipa sudorule-find
|
||
|
# Show info of rule
|
||
|
ipa sudorule-show <sudorule> --all
|
||
|
```
|
||
|
### Controle de Acesso Baseado em Funções
|
||
|
|
||
|
Uma **função** é composta por vários **privilégios**, cada um dos quais abrange uma coleção de **permissões**. Essas funções podem ser atribuídas a Usuários, Grupos de Usuários, **Hosts**, Grupos de Hosts e Serviços. Por exemplo, considere a função padrão “Administrador de Usuários” no FreeIPA para exemplificar essa estrutura.
|
||
|
|
||
|
A função `Administrador de Usuários` tem esses privilégios:
|
||
|
|
||
|
* **Administradores de Usuários**
|
||
|
* **Administradores de Grupos**
|
||
|
* **Administradores de Usuários de Estágio**
|
||
|
|
||
|
Com os seguintes comandos, é possível enumerar as funções, privilégios e permissões:
|
||
|
```bash
|
||
|
# Using ldap
|
||
|
ldapsearch -Y gssapi -b "cn=roles,cn=accounts,dc=westeros,dc=local"
|
||
|
# Using ipa binary
|
||
|
ipa role-find
|
||
|
ipa role-show <role> --all
|
||
|
ipa privilege-find
|
||
|
ipa privilege-show <privilege> --all
|
||
|
ipa permission-find
|
||
|
ipa permission-show <permission> --all
|
||
|
```
|
||
|
### Exemplo de Cenário de Ataque
|
||
|
|
||
|
Em [https://posts.specterops.io/attacking-freeipa-part-iii-finding-a-path-677405b5b95e](https://posts.specterops.io/attacking-freeipa-part-iii-finding-a-path-677405b5b95e) você pode encontrar um exemplo simples de como abusar de algumas permissões para comprometer o domínio.
|
||
|
|
||
|
### Linikatz/LinikatzV2
|
||
|
|
||
|
* [https://github.com/Orange-Cyberdefense/LinikatzV2](https://github.com/Orange-Cyberdefense/LinikatzV2)
|
||
|
* [https://github.com/CiscoCXSecurity/linikatz](https://github.com/CiscoCXSecurity/linikatz)
|
||
|
|
||
|
## Privesc
|
||
|
|
||
|
### ~~criação de usuário root~~
|
||
|
|
||
|
{% hint style="warning" %}
|
||
|
Se você pode **criar um novo usuário com o nome `root`**, você pode se passar por ele e será capaz de **SSH em qualquer máquina como root.**
|
||
|
|
||
|
**ISSO FOI CORRIGIDO.**
|
||
|
{% endhint %}
|
||
|
|
||
|
Você pode verificar uma explicação detalhada em [https://posts.specterops.io/attacking-freeipa-part-iv-cve-2020-10747-7c373a1bf66b](https://posts.specterops.io/attacking-freeipa-part-iv-cve-2020-10747-7c373a1bf66b)
|
||
|
|
||
|
## Referências
|
||
|
|
||
|
* [https://posts.specterops.io/attacking-freeipa-part-iv-cve-2020-10747-7c373a1bf66b](https://posts.specterops.io/attacking-freeipa-part-iv-cve-2020-10747-7c373a1bf66b)
|
||
|
* [https://posts.specterops.io/attacking-freeipa-part-i-authentication-77e73d837d6a](https://posts.specterops.io/attacking-freeipa-part-i-authentication-77e73d837d6a)
|
||
|
* [https://posts.specterops.io/attacking-freeipa-part-ii-enumeration-ad27224371e1](https://posts.specterops.io/attacking-freeipa-part-ii-enumeration-ad27224371e1)
|
||
|
* [https://www.youtube.com/watch?v=9dOu-7BTwPQ](https://www.youtube.com/watch?v=9dOu-7BTwPQ)
|
||
|
|
||
|
{% hint style="success" %}
|
||
|
Aprenda e pratique Hacking AWS:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
|
||
|
Aprenda e pratique Hacking GCP: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
|
||
|
|
||
|
<details>
|
||
|
|
||
|
<summary>Suporte ao HackTricks</summary>
|
||
|
|
||
|
* Confira os [**planos de assinatura**](https://github.com/sponsors/carlospolop)!
|
||
|
* **Junte-se ao** 💬 [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga**-nos no **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
|
||
|
* **Compartilhe truques de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
|
||
|
|
||
|
</details>
|
||
|
{% endhint %}
|