2023-08-03 19:12:22 +00:00
# FreeIPA渗透测试
2022-10-22 14:44:59 +00:00
< details >
2023-08-03 19:12:22 +00:00
< summary > < a href = "https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology" > < strong > ☁️ HackTricks云 ☁️< / strong > < / a > -< a href = "https://twitter.com/hacktricks_live" > < strong > 🐦 推特 🐦< / strong > < / a > - < a href = "https://www.twitch.tv/hacktricks_live/schedule" > < strong > 🎙️ Twitch 🎙️< / strong > < / a > - < a href = "https://www.youtube.com/@hacktricks_LIVE" > < strong > 🎥 YouTube 🎥< / strong > < / a > < / summary >
2022-10-22 14:44:59 +00:00
2023-08-03 19:12:22 +00:00
* 你在一家**网络安全公司**工作吗? !
* 发现我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获取[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组** ](https://discord.gg/hRep4RUj7f ) 或 [**Telegram群组** ](https://t.me/peass ) 或 **关注**我在**Twitter**上的[** 🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **通过向**[**hacktricks repo**](https://github.com/carlospolop/hacktricks) **和** [**hacktricks-cloud repo** ](https://github.com/carlospolop/hacktricks-cloud ) **提交PR来分享你的黑客技巧。**
2022-10-22 14:44:59 +00:00
< / details >
2023-08-03 19:12:22 +00:00
这些信息来自以下文章:
2022-10-22 14:44:59 +00:00
* [https://posts.specterops.io/attacking-freeipa-part-i-authentication-77e73d837d6a ](https://posts.specterops.io/attacking-freeipa-part-i-authentication-77e73d837d6a )
* [https://posts.specterops.io/attacking-freeipa-part-ii-enumeration-ad27224371e1 ](https://posts.specterops.io/attacking-freeipa-part-ii-enumeration-ad27224371e1 )
2022-10-22 15:26:54 +00:00
* [https://www.youtube.com/watch?v=9dOu-7BTwPQ\&feature=youtu.be ](https://www.youtube.com/watch?v=9dOu-7BTwPQ\&feature=youtu.be )
2022-10-22 14:44:59 +00:00
2023-08-03 19:12:22 +00:00
## 基本信息
2022-10-22 14:44:59 +00:00
2023-08-03 19:12:22 +00:00
它是微软Windows Active Directory的开源**替代品**,主要用作**Unix**环境的集成管理解决方案。类似于Active Directory, ,
2022-10-22 14:44:59 +00:00
2023-08-03 19:12:22 +00:00
## 指纹
2022-10-22 14:44:59 +00:00
2023-08-03 19:12:22 +00:00
### 文件和环境变量
2022-10-22 14:44:59 +00:00
2023-08-03 19:12:22 +00:00
* **`/etc/krb5.conf`: `krb5.conf` 文件包含了**加入域**所需的Kerberos客户端信息。这包括感兴趣的Kerberos领域的KDC和管理员服务器的位置, ,
* **`/etc/ipa/default.conf`: ,
* **`/etc/krb5.keytab`: `krb5.keytab` 文件在**域内的所有主机上都是必需的**。它是与KDC进行身份验证过程的一部分所必需的。
* **`KRB5CCNAME`:
* **`KRB5_KTNAME`:
* **`KRB5_CONFIG`:
* **`KRB5_KDC_PROFILE`: ,
* **`KRB5RCACHETYPE`:
* **`KRB5RCACHEDIR`:
* **`KRB5_TRACE`:
* **`KRB5_CLIENT_KTNAME`:
* **`KPROP_PORT`:
2022-10-22 14:44:59 +00:00
2023-08-03 19:12:22 +00:00
### 二进制文件
2022-10-22 14:44:59 +00:00
2023-08-03 19:12:22 +00:00
* **ipa:
* **kdestroy:
* **kinit:
* **klist:
* **kpasswd: , ,
* **ksu:
* **kswitch:
* **kvno:
### 网络
2022-10-22 15:26:54 +00:00
2023-08-03 19:12:22 +00:00
这是一个FreeIPA服务器的样子:
2022-10-22 15:26:54 +00:00
< figure > < img src = "../.gitbook/assets/image (197).png" alt = "" > < figcaption > < / figcaption > < / figure >
2023-08-03 19:12:22 +00:00
## 认证
2022-10-22 14:44:59 +00:00
2023-08-03 19:12:22 +00:00
由于FreeIPA使用**Kerberos进行认证**,这个过程与**Active Directory**中的认证非常相似。为了在域上访问资源,用户必须拥有该资源的**有效Kerberos票证**。根据FreeIPA域的配置,
2022-10-22 14:44:59 +00:00
2023-08-03 19:12:22 +00:00
### **CCACHE票证文件**
2022-10-22 14:44:59 +00:00
2023-08-03 19:12:22 +00:00
当票证被设置为以**文件**形式**存储**在**磁盘**上时,标准的格式和类型是**CCACHE**文件。这是一种简单的二进制文件格式,
2022-10-22 14:44:59 +00:00
2023-08-03 19:12:22 +00:00
1. 可以使用有效的票证进行**身份验证**,而无需使用相应用户的明文**密码**。
2. **CCACHE**票证非常**便携** 。可以下载并加载到另一台主机上,而无需更新或验证票证。
2022-10-22 14:44:59 +00:00
2023-08-03 19:12:22 +00:00
解析CCACHE票证可以通过多种不同的方式轻松完成。最简单的方法是使用klist二进制文件进行解析。
2022-10-22 14:44:59 +00:00
```
klist /tmp/krb5cc_0
```
2022-10-22 15:26:54 +00:00
< figure > < img src = "../.gitbook/assets/image (70).png" alt = "" > < figcaption > < / figcaption > < / figure >
2022-10-22 14:44:59 +00:00
2023-08-03 19:12:22 +00:00
对于攻击者来说, ,
2022-10-22 14:44:59 +00:00
```bash
export KRB5CCNAME=/tmp/krb5cc_0
klist
```
2022-10-22 15:26:54 +00:00
< figure > < img src = "../.gitbook/assets/image (175).png" alt = "" > < figcaption > < / figcaption > < / figure >
2022-10-22 14:44:59 +00:00
2023-08-03 19:12:22 +00:00
### **Unix Keyring( )
2022-10-22 14:44:59 +00:00
2023-08-03 19:12:22 +00:00
CCACHE Tickets( ) ( ) , :
2022-10-22 14:44:59 +00:00
2023-08-03 19:12:22 +00:00
- **`KEYRING:name`:
- **`KEYRING:process:name`:
- **`KEYRING:thread:name`:
- **`KEYRING:session:name`:
- **`KEYRING:persistent:uidnumber`:
2022-10-22 14:44:59 +00:00
2023-08-03 19:12:22 +00:00
根据管理员在Unix密钥环中存储的票据的范围限定方式, ,
2022-10-22 14:44:59 +00:00
2022-12-25 19:08:07 +00:00
< figure > < img src = "../.gitbook/assets/image (3) (1) (4).png" alt = "" > < figcaption > < / figcaption > < / figure >
2022-10-22 14:44:59 +00:00
2023-08-03 19:12:22 +00:00
作为攻击者, , , ,
2022-10-22 14:44:59 +00:00
2022-10-22 15:26:54 +00:00
< figure > < img src = "../.gitbook/assets/image (185).png" alt = "" > < figcaption > < / figcaption > < / figure >
2022-10-22 14:44:59 +00:00
2023-08-03 19:12:22 +00:00
### Keytab( )
2022-10-22 14:44:59 +00:00
{% hint style="warning" %}
2023-08-03 19:12:22 +00:00
通常, , ( ) ( )
2022-10-22 14:44:59 +00:00
{% endhint %}
2023-08-03 19:12:22 +00:00
它由Kerberos主体和加密密钥的配对组成, , ,
2022-10-22 14:44:59 +00:00
2023-08-03 19:12:22 +00:00
密钥表文件可用于获取其范围限定的主体的有效票据授予票据( )
2022-10-22 14:44:59 +00:00
2023-08-03 19:12:22 +00:00
解析Keytab文件非常简单,
2022-10-22 14:44:59 +00:00
2022-10-22 15:26:54 +00:00
< figure > < img src = "../.gitbook/assets/image (200).png" alt = "" > < figcaption > < / figcaption > < / figure >
2022-10-22 14:44:59 +00:00
2023-08-03 19:12:22 +00:00
攻击者可以通过使用kinit二进制文件生成CCACHE Ticket来**重复使用存储在密钥表文件中的凭据**。
2022-10-22 14:44:59 +00:00
```powershell
# Parse keytab
klist -k /rtc/krb5.keytab
# Get TGT
kinit -kt /etc/krb5.keytab host/bastion.westeros.local@WESTEROS.LOCAL
```
2022-10-22 15:26:54 +00:00
< figure > < img src = "../.gitbook/assets/image (205).png" alt = "" > < figcaption > < / figcaption > < / figure >
2022-10-22 14:44:59 +00:00
2023-08-03 19:12:22 +00:00
### 速查表
2022-10-22 14:44:59 +00:00
2023-08-03 19:12:22 +00:00
您可以在以下链接中找到有关如何在Linux中使用票证的更多信息:
2022-10-22 14:44:59 +00:00
{% content-ref url="privilege-escalation/linux-active-directory.md" %}
[linux-active-directory.md ](privilege-escalation/linux-active-directory.md )
{% endcontent-ref %}
2023-08-03 19:12:22 +00:00
## 枚举
2022-10-22 14:44:59 +00:00
2022-10-22 15:26:54 +00:00
{% hint style="warning" %}
2023-08-03 19:12:22 +00:00
您可以通过**ldap**和其他**二进制**工具进行**枚举**,或者**连接到FreeIPA服务器的443端口的网页**来执行枚举。
2022-10-22 15:26:54 +00:00
{% endhint %}
< figure > < img src = "../.gitbook/assets/image (184).png" alt = "" > < figcaption > < / figcaption > < / figure >
2023-08-03 19:12:22 +00:00
### 主机、用户和组 <a href="#4b3b" id="4b3b"></a>
2022-10-22 14:44:59 +00:00
2023-08-03 19:12:22 +00:00
可以创建**主机**、**用户**和**组**。主机和用户分别被分类到称为“**主机组**”和“**用户组**”的容器中。这类似于**组织单位**( )
2022-10-22 14:44:59 +00:00
2023-08-03 19:12:22 +00:00
在FreeIPA中, ,
2022-10-22 14:44:59 +00:00
```
2023-08-03 19:12:22 +00:00
ldapsearch -x
2022-10-22 14:44:59 +00:00
```
2023-08-03 19:12:22 +00:00
要获取更多信息,您需要使用一个经过身份验证的会话(请查看身份验证部分以了解如何准备经过身份验证的会话)。
2022-10-22 14:44:59 +00:00
```bash
# Get all users of domain
ldapsearch -Y gssapi -b "cn=users,cn=compat,dc=domain_name,dc=local"
# Get users groups
ldapsearch -Y gssapi -b "cn=groups,cn=accounts,dc=domain_name,dc=local"
# Get all the hosts
ldapsearch -Y gssapi -b "cn=computers,cn=accounts,dc=domain_name,dc=local"
# Get hosts groups
2023-08-03 19:12:22 +00:00
ldapsearch -Y gssapi -b "cn=hostgroups,cn=accounts,dc=domain_name,dc=local"
2022-10-22 14:44:59 +00:00
```
2023-08-03 19:12:22 +00:00
从加入域的计算机上,您将能够使用**已安装的二进制文件**来枚举域:
2022-10-22 14:44:59 +00:00
```bash
ipa user-find
ipa usergroup-find
ipa host-find
ipa host-group-find
-------------------
ipa user-show < username > --all
ipa usergroup-show < user group > --all
ipa host-find < host > --all
ipa hostgroup-show < host group > --all
```
2022-10-22 15:26:54 +00:00
{% hint style="info" %}
2023-08-03 19:12:22 +00:00
**FreeIPA**的**admin**用户相当于**AD**中的**域管理员**。
2022-10-22 15:26:54 +00:00
{% endhint %}
### Hashes <a href="#482b" id="482b"></a>
2023-08-03 19:12:22 +00:00
**IPA服务器**的**root**用户可以访问密码**哈希值**。
2022-10-22 15:26:54 +00:00
2023-08-03 19:12:22 +00:00
* 用户的密码哈希值以**base64**形式存储在“**userPassword**”属性中。该哈希值可能是**SSHA512**( )
* 如果系统与**AD**集成,密码的**Nthash**以**base64**形式存储在“**ipaNTHash**”中。
2022-10-22 15:26:54 +00:00
2023-08-03 19:12:22 +00:00
要破解这些哈希值:
2022-10-22 15:26:54 +00:00
2023-08-03 19:12:22 +00:00
• 如果FreeIPA与AD集成,
2022-10-22 15:26:54 +00:00
2023-08-03 19:12:22 +00:00
• 如果使用的是旧版本的FreeIPA, **哈希值** -> John The Ripper或**hashcat**可以帮助您破解它
2022-10-22 15:26:54 +00:00
2023-08-03 19:12:22 +00:00
• 如果使用的是新版本的FreeIPA, ( ) ,
2022-10-22 15:26:54 +00:00
2022-10-24 09:15:22 +00:00
< figure > < img src = "../.gitbook/assets/image (33).png" alt = "" > < figcaption > < / figcaption > < / figure >
2022-10-22 15:26:54 +00:00
2023-08-03 19:12:22 +00:00
要提取哈希值,您需要成为**FreeIPA服务器**的**root用户**,然后可以使用工具**`dbscan`**来提取它们:
2022-10-22 15:26:54 +00:00
< figure > < img src = "../.gitbook/assets/image (196).png" alt = "" > < figcaption > < / figcaption > < / figure >
2023-08-03 19:12:22 +00:00
### HBAC规则 <a href="#482b" id="482b"></a>
2022-10-22 14:44:59 +00:00
2023-08-03 19:12:22 +00:00
这些规则授予用户或主机对资源(主机、服务、服务组等)的特定权限。
2022-10-22 14:44:59 +00:00
```bash
# Enumerate using ldap
ldapsearch -Y gssapi -b "cn=hbac,dc=domain_name,dc=local"
# Using ipa
ipa hbacrule-find
# Show info of rule
ipa hbacrule-show < hbacrule > --all
```
2023-08-03 19:12:22 +00:00
#### Sudo规则
2022-10-22 14:44:59 +00:00
2023-08-03 19:12:22 +00:00
FreeIPA提供了从一个**集中的**源管理sudo权限的能力, , ,
2022-10-22 14:44:59 +00:00
```bash
# Enumerate using ldap
ldapsearch -Y gssapi -b "cn=sudorules,cn=sudo,dc=domain_name,dc=local"
# Using ipa
ipa sudorule-find
# Show info of rule
ipa sudorule-show < sudorule > --all
```
2023-08-03 19:12:22 +00:00
### 基于角色的访问控制
2022-10-22 14:44:59 +00:00
2023-08-03 19:12:22 +00:00
每个**角色**包含一组**权限**,而这些权限又包含一组**许可**。角色可以应用于用户、用户组、主机、主机组和服务。为了说明这个概念,
2022-10-22 14:44:59 +00:00
2022-10-22 15:26:54 +00:00
< figure > < img src = "../.gitbook/assets/image (161).png" alt = "" > < figcaption > < / figcaption > < / figure >
2022-10-22 14:44:59 +00:00
2023-08-03 19:12:22 +00:00
如上面的截图所示,“用户管理员”角色包含以下权限:
2022-10-22 14:44:59 +00:00
2023-08-03 19:12:22 +00:00
* **用户管理员**
* **组管理员**
* **阶段用户管理员**
2022-10-22 14:44:59 +00:00
2023-08-03 19:12:22 +00:00
我们可以进一步详细列举每个权限所委派的**许可**:
2022-10-22 14:44:59 +00:00
2022-10-22 15:26:54 +00:00
< figure > < img src = "../.gitbook/assets/image (189).png" alt = "" > < figcaption > < / figcaption > < / figure >
2022-10-22 14:44:59 +00:00
2023-08-03 19:12:22 +00:00
正如我们所看到的,“用户管理员”角色在环境中包含相当多的权限。理解**角色**、**权限**和**许可**的一般概念和结构对于识别环境中的攻击路径可能至关重要。
2022-10-22 14:44:59 +00:00
```bash
# Using ldap
ldapsearch -Y gssapi -b "cn=roles,cn=accounts,dc=westeros,dc=local"
# Using ipa binary
ipa role-find
ipa role-show < role > --all
2023-08-03 19:12:22 +00:00
ipa privilege-find
2022-10-22 14:44:59 +00:00
ipa privilege-show < privilege > --all
ipa permission-find
ipa permission-show < permission > --all
```
2023-08-03 19:12:22 +00:00
### 攻击场景示例
2022-10-22 14:44:59 +00:00
2023-08-03 19:12:22 +00:00
在[https://posts.specterops.io/attacking-freeipa-part-iii-finding-a-path-677405b5b95e](https://posts.specterops.io/attacking-freeipa-part-iii-finding-a-path-677405b5b95e)中,您可以找到一个简单的示例,说明如何滥用某些权限来破坏域。
2022-10-22 14:44:59 +00:00
2023-05-12 09:08:05 +00:00
### Linikatz
[https://github.com/CiscoCXSecurity/linikatz ](https://github.com/CiscoCXSecurity/linikatz )
2023-08-03 19:12:22 +00:00
## 提权
2022-10-22 14:44:59 +00:00
2023-08-03 19:12:22 +00:00
### ~~创建root用户~~
2022-10-22 14:44:59 +00:00
{% hint style="warning" %}
2023-08-03 19:12:22 +00:00
如果您可以**创建一个名为`root`的新用户**,您可以冒充他,并能够**以root身份SSH登录任何机器**。
2022-10-22 14:44:59 +00:00
2023-08-03 19:12:22 +00:00
**此问题已修复。**
2022-10-22 14:44:59 +00:00
{% endhint %}
2023-08-03 19:12:22 +00:00
"**用户管理员**"权限非常强大(正如其名称所示):
2022-10-22 14:44:59 +00:00
2022-10-22 15:26:54 +00:00
< figure > < img src = "../.gitbook/assets/image (182).png" alt = "" > < figcaption > < / figcaption > < / figure >
2022-10-22 14:44:59 +00:00
2023-08-03 19:12:22 +00:00
使用此权限,
2022-10-22 14:44:59 +00:00
2022-10-22 15:26:54 +00:00
< figure > < img src = "../.gitbook/assets/image (158).png" alt = "" > < figcaption > < / figcaption > < / figure >
2022-10-22 14:44:59 +00:00
2023-08-03 19:12:22 +00:00
一旦在域中创建了用户,我们可以使用\_kinit**\_获取该帐户的票证。
2022-10-22 14:44:59 +00:00
2022-10-22 15:26:54 +00:00
< figure > < img src = "../.gitbook/assets/image (178).png" alt = "" > < figcaption > < / figcaption > < / figure >
2022-10-22 14:44:59 +00:00
2023-08-03 19:12:22 +00:00
现在,
2022-10-22 14:44:59 +00:00
2022-10-22 15:26:54 +00:00
< figure > < img src = "../.gitbook/assets/image (176).png" alt = "" > < figcaption > < / figcaption > < / figure >
2022-10-22 14:44:59 +00:00
2023-08-03 19:12:22 +00:00
如图所示,这将**将用户切换到本地root帐户**! , , ,
2022-10-22 14:44:59 +00:00
2023-08-03 19:12:22 +00:00
要了解有关此漏洞的更多详细信息,请查看[_https://posts.specterops.io/attacking-freeipa-part-iv-cve-2020-10747-7c373a1bf66b_](https://posts.specterops.io/attacking-freeipa-part-iv-cve-2020-10747-7c373a1bf66b)\\
2022-10-22 14:44:59 +00:00
< details >
2023-04-25 18:35:28 +00:00
< summary > < a href = "https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology" > < strong > ☁️ HackTricks Cloud ☁️< / strong > < / a > -< a href = "https://twitter.com/hacktricks_live" > < strong > 🐦 Twitter 🐦< / strong > < / a > - < a href = "https://www.twitch.tv/hacktricks_live/schedule" > < strong > 🎙️ Twitch 🎙️< / strong > < / a > - < a href = "https://www.youtube.com/@hacktricks_LIVE" > < strong > 🎥 Youtube 🎥< / strong > < / a > < / summary >
2022-10-22 14:44:59 +00:00
2023-08-03 19:12:22 +00:00
* 您在**网络安全公司**工作吗? !
* 发现我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获得[**官方PEASS和HackTricks衣物**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组** ](https://discord.gg/hRep4RUj7f )或[**电报群组**](https://t.me/peass),或在**Twitter**上**关注**我[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **通过向**[**hacktricks repo**](https://github.com/carlospolop/hacktricks) **和** [**hacktricks-cloud repo** ](https://github.com/carlospolop/hacktricks-cloud ) **提交PR来分享您的黑客技巧。**
2022-10-22 14:44:59 +00:00
< / details >
