6.2 KiB
Stała obecność konta AD CS
Naucz się hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!
Inne sposoby wsparcia HackTricks:
- Jeśli chcesz zobaczyć swoją firmę reklamowaną w HackTricks lub pobrać HackTricks w formacie PDF, sprawdź SUBSCRIPTION PLANS!
- Zdobądź oficjalne gadżety PEASS & HackTricks
- Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
- Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @carlospolopm.
- Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do HackTricks i HackTricks Cloud github repos.
To jest małe podsumowanie rozdziałów dotyczących trwałości maszyny z niesamowitych badań z https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdf
Zrozumienie kradzieży aktywnych poświadczeń użytkownika za pomocą certyfikatów - PERSIST1
W scenariuszu, w którym użytkownik może poprosić o certyfikat umożliwiający uwierzytelnianie domeny, atakujący ma możliwość poproszenia i ukradzenia tego certyfikatu w celu utrzymania trwałości w sieci. Domyślnie szablon User
w Active Directory umożliwia takie żądania, chociaż czasami może być wyłączony.
Za pomocą narzędzia o nazwie Certify można wyszukiwać ważne certyfikaty umożliwiające stały dostęp:
Certify.exe find /clientauth
Podkreśla się, że moc certyfikatu leży w jego zdolności do uwierzytelniania jako użytkownik, do którego należy, niezależnie od zmiany hasła, pod warunkiem, że certyfikat pozostaje ważny.
Certyfikaty można żądać za pomocą interfejsu graficznego przy użyciu certmgr.msc
lub za pomocą wiersza polecenia za pomocą certreq.exe
. Dzięki Certify proces żądania certyfikatu jest uproszczony i przebiega w następujący sposób:
Certify.exe request /ca:CA-SERVER\CA-NAME /template:TEMPLATE-NAME
Po udanym żądaniu generowany jest certyfikat wraz z kluczem prywatnym w formacie .pem
. Aby przekonwertować go na plik .pfx
, który można używać w systemach Windows, używa się następującej komendy:
openssl pkcs12 -in cert.pem -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0" -export -out cert.pfx
Plik .pfx
można następnie przesłać na docelowy system i użyć go z narzędziem o nazwie Rubeus, aby poprosić o bilet Ticket Granting Ticket (TGT) dla użytkownika, przedłużając dostęp atakującego tak długo, jak długo certyfikat jest ważny (zazwyczaj jeden rok):
Rubeus.exe asktgt /user:harmj0y /certificate:C:\Temp\cert.pfx /password:CertPass!
Ważne ostrzeżenie dotyczy tego, jak ta technika, połączona z inną metodą opisaną w sekcji THEFT5, umożliwia atakującemu trwałe uzyskanie skrótu NTLM konta bez interakcji z usługą Local Security Authority Subsystem (LSASS) i z kontekstu o niskich uprawnieniach, co zapewnia bardziej skrytą metodę długotrwałego kradzieży poświadczeń.
Zdobywanie trwałości maszyny za pomocą certyfikatów - PERSIST2
Inna metoda polega na zapisaniu konta maszyny skompromitowanego systemu na certyfikat, wykorzystując domyślny szablon Machine
, który umożliwia takie działania. Jeśli atakujący uzyska podwyższone uprawnienia na systemie, może użyć konta SYSTEM do żądania certyfikatów, co zapewnia formę trwałości:
Certify.exe request /ca:dc.theshire.local/theshire-DC-CA /template:Machine /machine
Ten dostęp umożliwia atakującemu uwierzytelnienie się w Kerberosie jako konto maszyny i wykorzystanie S4U2Self do uzyskania biletów usługi Kerberos dla dowolnej usługi na hoście, co efektywnie daje atakującemu trwały dostęp do maszyny.
Rozszerzenie trwałości poprzez odnawianie certyfikatów - PERSIST3
Ostatnia omawiana metoda polega na wykorzystaniu okresów ważności i odnawiania szablonów certyfikatów. Poprzez odnawianie certyfikatu przed jego wygaśnięciem, atakujący może utrzymać uwierzytelnienie w Active Directory bez konieczności dodatkowego zapisywania biletów, co mogłoby pozostawić ślady na serwerze Certyfikatów (CA).
Ten podejście pozwala na rozszerzenie trwałości, minimalizując ryzyko wykrycia poprzez mniejszą liczbę interakcji z serwerem CA i unikając generowania artefaktów, które mogłyby zwrócić uwagę administratorów na włamanie.
Naucz się hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!
Inne sposoby wsparcia HackTricks:
- Jeśli chcesz zobaczyć swoją firmę reklamowaną w HackTricks lub pobrać HackTricks w formacie PDF, sprawdź PLAN SUBSKRYPCYJNY!
- Zdobądź oficjalne gadżety PEASS & HackTricks
- Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
- Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @carlospolopm.
- Podziel się swoimi trikami hakerskimi, przesyłając PR-y do HackTricks i HackTricks Cloud github repos.