Linux Active Directory
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μια μηχανή linux μπορεί επίσης να είναι παρούσα μέσα σε ένα περιβάλλον Active Directory.
Μια μηχανή linux σε ένα AD μπορεί να αποθηκεύει διάφορα CCACHE tickets μέσα σε αρχεία. Αυτά τα tickets μπορούν να χρησιμοποιηθούν και να καταχραστούν όπως οποιοδήποτε άλλο kerberos ticket. Για να διαβάσετε αυτά τα tickets θα χρειαστεί να είστε ο χρήστης κάτοχος του ticket ή root μέσα στη μηχανή.
Αν έχετε πρόσβαση σε ένα AD σε linux (ή bash σε Windows) μπορείτε να δοκιμάσετε https://github.com/lefayjey/linWinPwn για να καταγράψετε το AD.
Μπορείτε επίσης να ελέγξετε την παρακάτω σελίδα για να μάθετε άλλους τρόπους για να καταγράψετε το AD από linux:
Το FreeIPA είναι μια ανοιχτού κώδικα εναλλακτική λύση για το Microsoft Windows Active Directory, κυρίως για Unix περιβάλλοντα. Συνδυάζει έναν πλήρη LDAP κατάλογο με ένα MIT Kerberos Key Distribution Center για διαχείριση παρόμοια με το Active Directory. Χρησιμοποιεί το Dogtag Certificate System για τη διαχείριση πιστοποιητικών CA & RA, υποστηρίζει πολλαπλούς παράγοντες αυθεντικοποίησης, συμπεριλαμβανομένων των smartcards. Το SSSD είναι ενσωματωμένο για διαδικασίες αυθεντικοποίησης Unix. Μάθετε περισσότερα γι' αυτό στην:
Σε αυτή τη σελίδα θα βρείτε διάφορες τοποθεσίες όπου μπορείτε να βρείτε kerberos tickets μέσα σε έναν host linux, στην επόμενη σελίδα μπορείτε να μάθετε πώς να μετατρέψετε αυτά τα CCache tickets σε μορφή Kirbi (τη μορφή που χρειάζεστε να χρησιμοποιήσετε σε Windows) και επίσης πώς να εκτελέσετε μια επίθεση PTT:
Τα αρχεία CCACHE είναι δυαδικές μορφές για αποθήκευση Kerberos credentials και συνήθως αποθηκεύονται με δικαιώματα 600 στο /tmp
. Αυτά τα αρχεία μπορούν να αναγνωριστούν από τη μορφή ονόματος τους, krb5cc_%{uid}
, που σχετίζεται με το UID του χρήστη. Για την επαλήθευση του ticket αυθεντικοποίησης, η μεταβλητή περιβάλλοντος KRB5CCNAME
θα πρέπει να οριστεί στη διαδρομή του επιθυμητού αρχείου ticket, επιτρέποντας την επαναχρησιμοποίησή του.
Λίστα με το τρέχον ticket που χρησιμοποιείται για αυθεντικοποίηση με env | grep KRB5CCNAME
. Η μορφή είναι φορητή και το ticket μπορεί να επανχρησιμοποιηθεί ορίζοντας τη μεταβλητή περιβάλλοντος με export KRB5CCNAME=/tmp/ticket.ccache
. Η μορφή ονόματος του kerberos ticket είναι krb5cc_%{uid}
όπου uid είναι το UID του χρήστη.
Τα Kerberos tickets που αποθηκεύονται στη μνήμη μιας διαδικασίας μπορούν να εξαχθούν, ιδιαίτερα όταν η προστασία ptrace της μηχανής είναι απενεργοποιημένη (/proc/sys/kernel/yama/ptrace_scope
). Ένα χρήσιμο εργαλείο για αυτόν τον σκοπό βρίσκεται στο https://github.com/TarlogicSecurity/tickey, το οποίο διευκολύνει την εξαγωγή με την ένεση σε συνεδρίες και την εκφόρτωση των tickets στο /tmp
.
Για να ρυθμίσετε και να χρησιμοποιήσετε αυτό το εργαλείο, ακολουθούν τα παρακάτω βήματα:
Αυτή η διαδικασία θα προσπαθήσει να εισάγει σε διάφορες συνεδρίες, υποδεικνύοντας επιτυχία αποθηκεύοντας τα εξαγόμενα εισιτήρια στο /tmp
με μια ονοματολογία __krb_UID.ccache
.
Το SSSD διατηρεί ένα αντίγραφο της βάσης δεδομένων στη διαδρομή /var/lib/sss/secrets/secrets.ldb
. Το αντίστοιχο κλειδί αποθηκεύεται ως κρυφό αρχείο στη διαδρομή /var/lib/sss/secrets/.secrets.mkey
. Από προεπιλογή, το κλειδί είναι αναγνώσιμο μόνο αν έχετε δικαιώματα root.
Η κλήση **SSSDKCMExtractor
** με τις παραμέτρους --database και --key θα αναλύσει τη βάση δεδομένων και θα αποκρυπτογραφήσει τα μυστικά.
Το credential cache Kerberos blob μπορεί να μετατραπεί σε ένα χρησιμοποιήσιμο αρχείο Kerberos CCache που μπορεί να περαστεί σε Mimikatz/Rubeus.
Τα κλειδιά λογαριασμού υπηρεσίας, που είναι απαραίτητα για υπηρεσίες που λειτουργούν με δικαιώματα root, αποθηκεύονται με ασφάλεια στα αρχεία /etc/krb5.keytab
. Αυτά τα κλειδιά, παρόμοια με τους κωδικούς πρόσβασης για υπηρεσίες, απαιτούν αυστηρή εμπιστευτικότητα.
Για να ελέγξετε το περιεχόμενο του αρχείου keytab, μπορεί να χρησιμοποιηθεί το klist
. Το εργαλείο έχει σχεδιαστεί για να εμφανίζει λεπτομέρειες κλειδιών, συμπεριλαμβανομένου του NT Hash για την αυθεντικοποίηση χρηστών, ιδιαίτερα όταν ο τύπος κλειδιού αναγνωρίζεται ως 23.
Για τους χρήστες Linux, KeyTabExtract
προσφέρει λειτουργικότητα για την εξαγωγή του RC4 HMAC hash, το οποίο μπορεί να χρησιμοποιηθεί για την επαναχρησιμοποίηση του NTLM hash.
Στο macOS, bifrost
χρησιμεύει ως εργαλείο για την ανάλυση αρχείων keytab.
Χρησιμοποιώντας τις εξαγόμενες πληροφορίες λογαριασμού και κατακερματισμού, μπορούν να δημιουργηθούν συνδέσεις με διακομιστές χρησιμοποιώντας εργαλεία όπως το crackmapexec
.
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)