AD CS Domain Persistence
Last updated
Last updated
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Dit is 'n opsomming van die domein persistensie tegnieke gedeel in https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdf. Kyk daarna vir verdere besonderhede.
Hoe kan jy sê dat 'n sertifikaat 'n CA sertifikaat is?
Dit kan bepaal word dat 'n sertifikaat 'n CA sertifikaat is as verskeie voorwaardes nagekom word:
Die sertifikaat word op die CA bediener gestoor, met sy privaat sleutel beveilig deur die masjien se DPAPI, of deur hardeware soos 'n TPM/HSM as die bedryfstelsel dit ondersteun.
Beide die Issuer en Subject velde van die sertifikaat stem ooreen met die onderskeidelike naam van die CA.
'n "CA Version" uitbreiding is eksklusief in die CA sertifikate teenwoordig.
Die sertifikaat het nie Extended Key Usage (EKU) velde nie.
Om die privaat sleutel van hierdie sertifikaat te onttrek, is die certsrv.msc
hulpmiddel op die CA bediener die ondersteunde metode via die ingeboude GUI. Nietemin, verskil hierdie sertifikaat nie van ander wat binne die stelsel gestoor is nie; dus kan metodes soos die THEFT2 tegniek toegepas word vir onttrekking.
Die sertifikaat en privaat sleutel kan ook verkry word met Certipy met die volgende opdrag:
Upon acquiring the CA certificate and its private key in .pfx
format, tools like ForgeCert can be utilized to generate valid certificates:
Die gebruiker wat geteiken word vir sertifikaat vervalsing moet aktief wees en in staat wees om in te log in Active Directory vir die proses om te slaag. Vervalsing van 'n sertifikaat vir spesiale rekeninge soos krbtgt is ondoeltreffend.
Hierdie vervalste sertifikaat sal geldigheid hê tot die einddatum wat gespesifiseer is en solank die wortel CA-sertifikaat geldig is (gewoonlik van 5 tot 10+ jaar). Dit is ook geldig vir masjiene, so gekombineer met S4U2Self, kan 'n aanvaller volharding op enige domeinmasjien handhaaf solank die CA-sertifikaat geldig is. Boonop kan die sertifikate wat met hierdie metode gegenereer word nie herroep word nie, aangesien die CA nie daarvan bewus is nie.
Die NTAuthCertificates
objek is gedefinieer om een of meer CA-sertifikate binne sy cacertificate
attribuut te bevat, wat Active Directory (AD) gebruik. Die verifikasieproses deur die domeinbeheerder behels die nagaan van die NTAuthCertificates
objek vir 'n inskrywing wat ooreenstem met die CA gespesifiseer in die Uitgewer veld van die autentiserende sertifikaat. Autentisering gaan voort as 'n ooreenkoms gevind word.
'n Self-ondertekende CA-sertifikaat kan deur 'n aanvaller by die NTAuthCertificates
objek gevoeg word, mits hulle beheer oor hierdie AD objek het. Gewoonlik word slegs lede van die Enterprise Admin groep, saam met Domain Admins of Administrators in die woudwortel se domein, toestemming gegee om hierdie objek te wysig. Hulle kan die NTAuthCertificates
objek met certutil.exe
wysig met die opdrag certutil.exe -dspublish -f C:\Temp\CERT.crt NTAuthCA126
, of deur die PKI Health Tool te gebruik.
Hierdie vermoë is veral relevant wanneer dit saam met 'n voorheen uiteengesette metode wat ForgeCert betrek, gebruik word om sertifikate dinamies te genereer.
Geleenthede vir volharding deur sekuriteitsbeskrywer wysigings van AD CS kom volop voor. Wysigings wat in die "Domein Escalation" afdeling beskryf word, kan kwaadwillig deur 'n aanvaller met verhoogde toegang geïmplementeer word. Dit sluit die toevoeging van "beheerregte" (bv. WriteOwner/WriteDACL/etc.) aan sensitiewe komponente soos:
Die CA bediener se AD rekenaar objek
Die CA bediener se RPC/DCOM bediener
Enige afstammeling AD objek of houer in CN=Public Key Services,CN=Services,CN=Configuration,DC=<DOMAIN>,DC=<COM>
(byvoorbeeld, die Sertifikaat Templates houer, Sertifiseringsowerhede houer, die NTAuthCertificates objek, ens.)
AD groepe wat regte gedelegeer het om AD CS te beheer per standaard of deur die organisasie (soos die ingeboude Cert Publishers groep en enige van sy lede)
'n Voorbeeld van kwaadwillige implementering sou 'n aanvaller betrek, wat verhoogde toestemmings in die domein het, wat die WriteOwner
toestemming aan die standaard User
sertifikaat sjabloon voeg, met die aanvaller as die hoof vir die reg. Om dit te benut, sou die aanvaller eers die eienaarskap van die User
sjabloon na hulself verander. Daarna sou die mspki-certificate-name-flag
op die sjabloon op 1 gestel word om ENROLLEE_SUPPLIES_SUBJECT
te aktiveer, wat 'n gebruiker toelaat om 'n Subject Alternative Name in die versoek te verskaf. Vervolgens kan die aanvaller inskryf met die sjabloon, 'n domein administrateur naam as 'n alternatiewe naam kies, en die verkryde sertifikaat vir autentisering as die DA gebruik.
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)