Cienie hasł

Naucz się hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Pracujesz w firmie zajmującej się cyberbezpieczeństwem? Chcesz zobaczyć swoją firmę reklamowaną w HackTricks? A może chcesz mieć dostęp do najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF? Sprawdź PLAN SUBSKRYPCJI!
Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
Zdobądź oficjalne gadżety PEASS & HackTricks
Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź mnie na Twitterze 🐦@carlospolopm.
Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do repozytorium hacktricks i hacktricks-cloud.

Wprowadzenie

Sprawdź oryginalny post, aby uzyskać wszystkie informacje na temat tej techniki.

Podsumowując: jeśli możesz zapisać do właściwości msDS-KeyCredentialLink użytkownika/komputera, możesz odzyskać hash NT tego obiektu.

W poście opisana jest metoda konfiguracji uwierzytelniania klucza publicznego-prywatnego w celu uzyskania unikalnego biletu usługi, który zawiera hash NTLM docelowego obiektu. Proces ten obejmuje zaszyfrowane NTLM_SUPPLEMENTAL_CREDENTIAL w ramach Certyfikatu Atrybutu Uprawnień (PAC), które można odszyfrować.

Wymagania

Aby zastosować tę technikę, muszą zostać spełnione pewne warunki:

Wymagany jest co najmniej jeden kontroler domeny Windows Server 2016.
Kontroler domeny musi mieć zainstalowany certyfikat uwierzytelniania serwera.
Katalog Active Directory musi mieć poziom funkcjonalności Windows Server 2016.
Wymagane jest konto z uprawnieniami do modyfikowania atrybutu msDS-KeyCredentialLink obiektu docelowego.

Nadużycie

Nadużycie Key Trust dla obiektów komputerowych obejmuje kroki poza uzyskaniem Biletu Grantowego (TGT) i hasha NTLM. Opcje obejmują:

Tworzenie srebrnego biletu RC4 w celu działania jako uprzywilejowani użytkownicy na docelowym hoście.
Użycie TGT z S4U2Self do podszycia się pod uprzywilejowanych użytkowników, co wymaga zmian w Bilecie Usługi w celu dodania klasy usługi do nazwy usługi.

Znaczącą zaletą nadużycia Key Trust jest ograniczenie do prywatnego klucza wygenerowanego przez atakującego, unikając delegacji do potencjalnie podatnych kont i nie wymagając tworzenia konta komputera, co mogłoby być trudne do usunięcia.

Narzędzia

### Whisker

Opiera się na DSInternals i zapewnia interfejs C# do tego ataku. Whisker i jego odpowiednik w języku Python, pyWhisker, umożliwiają manipulację atrybutem msDS-KeyCredentialLink, aby uzyskać kontrolę nad kontami Active Directory. Narzędzia te obsługują różne operacje, takie jak dodawanie, wyświetlanie, usuwanie i czyszczenie kluczowych poświadczeń z obiektu docelowego.

Funkcje Whisker obejmują:

Dodaj: Generuje parę kluczy i dodaje kluczowe poświadczenie.
Lista: Wyświetla wszystkie wpisy kluczowych poświadczeń.
Usuń: Usuwa określone kluczowe poświadczenie.
Wyczyść: Usuwa wszystkie kluczowe poświadczenia, potencjalnie zakłócając prawidłowe korzystanie z WHfB.

Whisker.exe add /target:computername$ /domain:constoso.local /dc:dc1.contoso.local /path:C:\path\to\file.pfx /password:P@ssword1

pyWhisker

Rozszerza funkcjonalność Whisker na systemy oparte na UNIX, wykorzystując Impacket i PyDSInternals do kompleksowych możliwości eksploatacji, w tym listowania, dodawania i usuwania KeyCredentials, a także importowania i eksportowania ich w formacie JSON.

python3 pywhisker.py -d "domain.local" -u "user1" -p "complexpassword" --target "user2" --action "list"

ShadowSpray

ShadowSpray ma na celu wykorzystanie uprawnień GenericWrite/GenericAll, które szerokie grupy użytkowników mogą mieć wobec obiektów domeny w celu szerokiego zastosowania ShadowCredentials. Polega to na zalogowaniu się do domeny, sprawdzeniu poziomu funkcjonalnego domeny, wyliczeniu obiektów domeny i próbie dodania KeyCredentials w celu uzyskania TGT i ujawnienia skrótu NT. Opcje czyszczenia i taktyki rekurencyjnego wykorzystania zwiększają jego użyteczność.

Referencje