From ea4bc15329fe5b46eeadc5f6a0784297f1430469 Mon Sep 17 00:00:00 2001 From: Translator Date: Mon, 7 Aug 2023 05:31:03 +0000 Subject: [PATCH] Translated ['windows-hardening/active-directory-methodology/acl-persiste --- .../shadow-credentials.md | 82 +++++++++++++------ 1 file changed, 57 insertions(+), 25 deletions(-) diff --git a/windows-hardening/active-directory-methodology/acl-persistence-abuse/shadow-credentials.md b/windows-hardening/active-directory-methodology/acl-persistence-abuse/shadow-credentials.md index ac9e55bf8..bd7cd6b38 100644 --- a/windows-hardening/active-directory-methodology/acl-persistence-abuse/shadow-credentials.md +++ b/windows-hardening/active-directory-methodology/acl-persistence-abuse/shadow-credentials.md @@ -2,19 +2,19 @@
-☁️ HackTricks 云 ☁️ -🐦 推特 🐦 - 🎙️ Twitch 🎙️ - 🎥 YouTube 🎥 +☁️ HackTricks 云 ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥 -* 你在一家**网络安全公司**工作吗?你想在 HackTricks 中看到你的**公司广告**吗?或者你想获得**PEASS的最新版本或下载PDF格式的HackTricks**吗?请查看[**订阅计划**](https://github.com/sponsors/carlospolop)! -* 发现我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品[**The PEASS Family**](https://opensea.io/collection/the-peass-family) -* 获取[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com) +* 你在一家**网络安全公司**工作吗?你想在 HackTricks 中看到你的**公司广告**吗?或者你想要**获取最新版本的 PEASS 或下载 PDF 格式的 HackTricks**吗?请查看[**订阅计划**](https://github.com/sponsors/carlospolop)! +* 发现我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品——[**The PEASS Family**](https://opensea.io/collection/the-peass-family) +* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com) * **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass),或者**关注**我在**Twitter**上的[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**。** -* **通过向[hacktricks repo](https://github.com/carlospolop/hacktricks)和[hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)提交PR来分享你的黑客技巧**。 +* **通过向[hacktricks 仓库](https://github.com/carlospolop/hacktricks)和[hacktricks-cloud 仓库](https://github.com/carlospolop/hacktricks-cloud)提交 PR 来分享你的黑客技巧**。
## 简介 -查看有关此技术的[**所有信息的原始帖子**](https://posts.specterops.io/shadow-credentials-abusing-key-trust-account-mapping-for-takeover-8ee1a53566ab)。 +查看原始帖子以获取有关此技术的[**所有信息**](https://posts.specterops.io/shadow-credentials-abusing-key-trust-account-mapping-for-takeover-8ee1a53566ab)。 简而言之:如果你可以写入用户/计算机的**msDS-KeyCredentialLink**属性,你可以检索该对象的**NT哈希**。 @@ -27,7 +27,7 @@ * 至少一个 Windows Server 2016 域控制器。 * 在域控制器上安装用于服务器身份验证的数字证书。 * 在 Active Directory 中具有 Windows Server 2016 功能级别。 -* 篡改具有写入目标对象的 msDS-KeyCredentialLink 属性的委派权限的帐户。 +* 窃取具有写入目标对象的msDS-KeyCredentialLink属性的委派权限的帐户。 ## 滥用 @@ -40,14 +40,14 @@ Whisker -除了本文,我还发布了一个名为“[Whisker](https://github.com/eladshamir/Whisker)”的工具。基于 Michael 的 DSInternals 代码,Whisker 提供了一个用于执行此攻击的 C# 封装。Whisker 使用 LDAP 更新目标对象,而 DSInternals 允许使用 LDAP 和带有目录复制服务(DRS)远程协议的 RPC 更新对象。 +在本文发布之际,我发布了一个名为“[Whisker](https://github.com/eladshamir/Whisker)”的工具。基于 Michael 的 DSInternals 代码,Whisker 提供了一个 C# 封装,用于在渗透测试中执行此攻击。Whisker 使用 LDAP 更新目标对象,而 DSInternals 允许使用 LDAP 和 Directory Replication Service (DRS) 远程协议的 Directory Replication Service (DRS) 远程协议更新对象。 [Whisker](https://github.com/eladshamir/Whisker) 有四个功能: * Add — 此功能生成一个公私钥对,并将一个新的密钥凭据添加到目标对象,就像用户从新设备注册到 WHfB 一样。 * List — 此功能列出目标对象的 msDS-KeyCredentialLink 属性的所有条目。 * Remove — 此功能从目标对象中删除由 DeviceID GUID 指定的密钥凭据。 -* Clear — 此功能从目标对象的 msDS-KeyCredentialLink 属性中删除所有值。如果目标对象合法地使用 WHfB,则会中断。 +* Clear — 此功能从目标对象的 msDS-KeyCredentialLink 属性中删除所有值。如果目标对象正在合法使用 WHfB,则会中断。 ## [Whisker](https://github.com/eladshamir/Whisker) @@ -58,38 +58,70 @@ Whisker 是一个用于接管 Active Directory 用户和计算机帐户的 C# * **Add** — 此功能生成一个公私钥对,并将一个新的密钥凭据添加到目标对象,就像用户从新设备注册到 WHfB 一样。 * **List** — 此功能列出目标对象的 msDS-KeyCredentialLink 属性的所有条目。 * **Remove** — 此功能从目标对象中删除由 DeviceID GUID 指定的密钥凭据。 -* **Clear** — 此功能从目标对象的 msDS-KeyCredentialLink 属性中删除所有值。如果目标对象合法地使用 WHfB,则会中断。 +* **Clear** — 此功能从目标对象的 msDS-KeyCredentialLink 属性中删除所有值。如果目标对象正在合法使用 WHfB,则会中断。 ### Add 向目标对象的 **`msDS-KeyCredentialLink`** 属性添加一个新值: -* `/target:`:必需。设置目标名称。计算机对象应以'$'符号结尾。 -* `/domain:`:可选。设置目标的完全限定域名(FQDN)。如果未提供,将尝试解析当前用户的 FQDN。 -* `/dc:`:可选。设置目标域控制器(DC)。如果未提供,将尝试定位主域控制器(PDC)。 -* `/path:`:可选。设置存储生成的自签名证书用于身份验证的路径。如果未提供,证书将作为 Base64 blob 打印。 +* `/target:`:必填。设置目标名称。计算机对象应以'$'符号结尾。 +* `/domain:`:可选。设置目标的完全限定域名 (FQDN)。如果未提供,将尝试解析当前用户的 FQDN。 +* `/dc:`:可选。设置目标域控制器 (DC)。如果未提供,将尝试定位主域控制器 (PDC)。 +* `/path:`:可选。设置存储生成的自签名证书用于身份验证的路径。如果未提供,证书将以 Base64 blob 的形式打印出来。 * `/password:`:可选。设置存储的自签名证书的密码。如果未提供,将生成一个随机密码。 示例:**`Whisker.exe add /target:computername$ /domain:constoso.local /dc:dc1.contoso.local /path:C:\path\to\file.pfx /password:P@ssword1`** {% hint style="info" %} -更多选项请参阅[**Readme**](https://github.com/eladshamir/Whisker)。 +更多选项请参阅[**自述文件**](https://github.com/eladshamir/Whisker)。 {% endhint %} +## [pywhisker](https://github.com/ShutdownRepo/pywhisker) + +pyWhisker是Elad Shamir制作的Whisker的Python版本,原版是用C#编写的。该工具允许用户操纵目标用户/计算机的msDS-KeyCredentialLink属性,从而完全控制该对象。 + +它基于Impacket和Michael Grafnetter的DSInternals的Python版本PyDSInternals(由podalirius制作)。 +此工具与Dirk-jan的PKINITtools一起,仅在基于UNIX的系统上进行完整的原始利用。 + +pyWhisker可用于对目标的msDs-KeyCredentialLink属性执行各种操作 + +- *list*:列出所有当前KeyCredentials的ID和创建时间 +- *info*:打印KeyCredential结构中包含的所有信息 +- *add*:向msDs-KeyCredentialLink添加新的KeyCredential +- *remove*:从msDs-KeyCredentialLink中删除KeyCredential +- *clear*:从msDs-KeyCredentialLink中删除所有KeyCredentials +- *export*:将msDs-KeyCredentialLink中的所有KeyCredentials导出为JSON +- *import*:使用JSON文件中的KeyCredentials覆盖msDs-KeyCredentialLink + + +pyWhisker支持以下身份验证方式: +- (NTLM)明文密码 +- (NTLM)传递哈希 +- (Kerberos)明文密码 +- (Kerberos)传递密钥/越权哈希 +- (Kerberos)传递缓存(票据传递的一种类型) + +![](https://github.com/ShutdownRepo/pywhisker/blob/main/.assets/add_pfx.png) + + +{% hint style="info" %} +更多选项请参阅[**Readme**](https://github.com/ShutdownRepo/pywhisker)。 +{% endhint %} + ## [ShadowSpray](https://github.com/Dec0ne/ShadowSpray/) -在一些情况下,“Everyone” / “Authenticated Users” / “Domain Users”或其他一些**广泛的组**包含域中几乎所有用户对域中的其他对象具有一些`GenericWrite`/`GenericAll` DACLs。[**ShadowSpray**](https://github.com/Dec0ne/ShadowSpray/)试图滥用这些对象上的**ShadowCredentials**。 +在某些情况下,“Everyone” / “Authenticated Users” / “Domain Users”或其他**广泛的组**包含域中几乎所有用户在域中的其他对象上具有一些`GenericWrite`/`GenericAll` DACLs。[**ShadowSpray**](https://github.com/Dec0ne/ShadowSpray/)试图因此滥用所有这些对象上的**ShadowCredentials** -具体步骤如下: +大致过程如下: 1. 使用提供的凭据登录到域(或使用当前会话)。 -2. 检查**域功能级别是否为2016**(否则停止,因为Shadow Credentials攻击将无法生效)。 +2. 检查**域功能级别是否为2016**(否则停止,因为Shadow Credentials攻击将无法工作) 3. 从LDAP中收集域中所有对象(用户和计算机)的**列表**。 4. 对于列表中的**每个对象**,执行以下操作: - 1. 尝试将KeyCredential添加到对象的`msDS-KeyCredentialLink`属性。 - 2. 如果上述操作**成功**,使用**PKINIT**请求使用添加的KeyCredential的**TGT**。 - 3. 如果上述操作**成功**,执行**UnPACTheHash**攻击以揭示用户/计算机的**NT哈希值**。 - 4. 如果指定了**`--RestoreShadowCred`**:删除添加的KeyCredential(清理操作...) - 5. 如果指定了**`--Recursive`**:对于我们成功拥有的每个用户/计算机**账户**,执行**相同的过程**。 +1. 尝试向对象的`msDS-KeyCredentialLink`属性**添加KeyCredential**。 +2. 如果上述操作**成功**,则使用**PKINIT**使用添加的KeyCredential请求**TGT**。 +3. 如果上述操作**成功**,执行**UnPACTheHash**攻击以显示用户/计算机的**NT哈希**。 +4. 如果指定了**`--RestoreShadowCred`**:删除添加的KeyCredential(清理操作...) +5. 如果指定了**`--Recursive`**:使用我们成功拥有的每个用户/计算机**账户**执行**相同的过程**。 ## 参考资料 @@ -101,9 +133,9 @@ Whisker 是一个用于接管 Active Directory 用户和计算机帐户的 C# ☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥 -* 你在一家**网络安全公司**工作吗?想要在HackTricks中看到你的**公司广告**吗?或者想要获得**PEASS的最新版本或下载PDF格式的HackTricks**吗?请查看[**订阅计划**](https://github.com/sponsors/carlospolop)! +* 你在**网络安全公司**工作吗?想要在HackTricks中看到你的**公司广告**吗?或者想要获得**PEASS的最新版本或下载PDF格式的HackTricks**吗?请查看[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)! * 发现我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品[**The PEASS Family**](https://opensea.io/collection/the-peass-family) -* 获取[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com) +* 获得[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com) * **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**电报群组**](https://t.me/peass),或在**Twitter**上**关注**我[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**。** * **通过向[hacktricks repo](https://github.com/carlospolop/hacktricks)和[hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)提交PR来分享你的黑客技巧**。