Persistência de Conta no AD CS

Aprenda hacking no AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!

Outras formas de apoiar o HackTricks:

Se você quer ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF, confira os PLANOS DE ASSINATURA!
Adquira o material oficial PEASS & HackTricks
Descubra A Família PEASS, nossa coleção de NFTs exclusivos
Junte-se ao grupo 💬 Discord ou ao grupo telegram ou siga-me no Twitter 🐦 @carlospolopm.
Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do HackTricks e HackTricks Cloud.

Roubo de Credenciais de Usuário Ativo via Certificados – PERSIST1

Se o usuário tem permissão para solicitar um certificado que permite autenticação de domínio, um atacante poderia solicitar e roubar o mesmo para manter persistência.

O modelo User permite isso e vem por padrão. No entanto, pode estar desativado. Assim, Certify permite encontrar certificados válidos para persistir:

Certify.exe find /clientauth

Observe que um certificado pode ser usado para autenticação como aquele usuário enquanto o certificado estiver válido, mesmo se o usuário alterar sua senha.

A partir da GUI, é possível solicitar um certificado com certmgr.msc ou através da linha de comando com certreq.exe.

Usando Certify, você pode executar:

Certify.exe request /ca:CA-SERVER\CA-NAME /template:TEMPLATE-NAME

O resultado será um bloco de texto formatado .pem contendo um certificado + chave privada

openssl pkcs12 -in cert.pem -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0" -export -out cert.pfx

Para usar esse certificado, pode-se então fazer upload do .pfx para um alvo e usá-lo com Rubeus para solicitar um TGT para o usuário inscrito, pelo tempo que o certificado for válido (a validade padrão é de 1 ano):

Rubeus.exe asktgt /user:harmj0y /certificate:C:\Temp\cert.pfx /password:CertPass!

{% hint style="warning" %} Combinado com a técnica descrita na seção THEFT5, um atacante também pode obter persistentemente o hash NTLM da conta, que o atacante poderia usar para autenticar via pass-the-hash ou crackear para obter a senha em texto simples.
Este é um método alternativo de roubo de credenciais de longo prazo que não interage com o LSASS e é possível a partir de um contexto não elevado. {% endhint %}

Persistência de Máquina via Certificados - PERSIST2

Se um modelo de certificado permitir Domain Computers como principais de inscrição, um atacante poderia inscrever a conta de máquina de um sistema comprometido. O modelo padrão Machine corresponde a todas essas características.

Se um atacante elevar privilégios em um sistema comprometido, o atacante pode usar a conta SYSTEM para se inscrever em modelos de certificado que concedem privilégios de inscrição para contas de máquina (mais informações em THEFT3).

Você pode usar Certify para coletar um certificado para a conta de máquina elevando automaticamente para SYSTEM com:

Certify.exe request /ca:dc.theshire.local/theshire-DC-CA /template:Machine /machine

Note que com acesso a um certificado de conta de máquina, o atacante pode então autenticar-se no Kerberos como a conta da máquina. Usando S4U2Self, um atacante pode então obter um ticket de serviço Kerberos para qualquer serviço no host (por exemplo, CIFS, HTTP, RPCSS, etc.) como qualquer usuário.

Em última análise, isso dá ao ataque um método de persistência de máquina.

Persistência de Conta via Renovação de Certificado - PERSIST3

Modelos de certificado têm um Período de Validade que determina por quanto tempo um certificado emitido pode ser usado, bem como um Período de Renovação (geralmente 6 semanas). Esta é uma janela de tempo antes do certificado expirar onde uma conta pode renová-lo na autoridade emissora de certificados.

Se um atacante comprometer um certificado capaz de autenticação de domínio por roubo ou inscrição maliciosa, o atacante pode autenticar-se no AD pelo período de validade do certificado. No entanto, o atacante pode renovar o certificado antes da expiração. Isso pode funcionar como uma abordagem de persistência estendida que evita que inscrições adicionais de tickets sejam solicitadas, o que pode deixar artefatos no próprio servidor CA.