Shadow Credentials
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Check the original post for όλες τις πληροφορίες σχετικά με αυτή την τεχνική.
As summary: αν μπορείτε να γράψετε στην msDS-KeyCredentialLink ιδιότητα ενός χρήστη/υπολογιστή, μπορείτε να ανακτήσετε το NT hash αυτού του αντικειμένου.
In the post, a method is outlined for setting up public-private key authentication credentials to acquire a unique Service Ticket that includes the target's NTLM hash. This process involves the encrypted NTLM_SUPPLEMENTAL_CREDENTIAL within the Privilege Attribute Certificate (PAC), which can be decrypted.
To apply this technique, certain conditions must be met:
Απαιτείται τουλάχιστον ένας Windows Server 2016 Domain Controller.
Ο Domain Controller πρέπει να έχει εγκατεστημένο ένα ψηφιακό πιστοποιητικό αυθεντικοποίησης διακομιστή.
Το Active Directory πρέπει να είναι στο Windows Server 2016 Functional Level.
Απαιτείται ένας λογαριασμός με εξουσιοδοτημένα δικαιώματα για να τροποποιήσει την ιδιότητα msDS-KeyCredentialLink του αντικειμένου στόχου.
The abuse of Key Trust for computer objects encompasses steps beyond obtaining a Ticket Granting Ticket (TGT) and the NTLM hash. The options include:
Δημιουργία ενός RC4 silver ticket για να ενεργεί ως προνομιούχοι χρήστες στον προοριζόμενο υπολογιστή.
Χρήση του TGT με S4U2Self για την προσποίηση προνομιούχων χρηστών, απαιτώντας τροποποιήσεις στο Service Ticket για να προστεθεί μια κατηγορία υπηρεσίας στο όνομα της υπηρεσίας.
A significant advantage of Key Trust abuse is its limitation to the attacker-generated private key, avoiding delegation to potentially vulnerable accounts and not requiring the creation of a computer account, which could be challenging to remove.
### Whisker
It's based on DSInternals providing a C# interface for this attack. Whisker and its Python counterpart, pyWhisker, enable manipulation of the msDS-KeyCredentialLink attribute to gain control over Active Directory accounts. These tools support various operations like adding, listing, removing, and clearing key credentials from the target object.
Whisker functions include:
Add: Δημιουργεί ένα ζεύγος κλειδιών και προσθέτει μια πιστοποίηση κλειδιού.
List: Εμφανίζει όλες τις καταχωρίσεις πιστοποίησης κλειδιού.
Remove: Διαγράφει μια συγκεκριμένη πιστοποίηση κλειδιού.
Clear: Διαγράφει όλες τις πιστοποιήσεις κλειδιού, ενδεχομένως διαταράσσοντας τη νόμιμη χρήση WHfB.
Επεκτείνει τη λειτουργικότητα του Whisker σε συστήματα βασισμένα σε UNIX, αξιοποιώντας το Impacket και το PyDSInternals για ολοκληρωμένες δυνατότητες εκμετάλλευσης, συμπεριλαμβανομένης της καταγραφής, προσθήκης και αφαίρεσης KeyCredentials, καθώς και της εισαγωγής και εξαγωγής τους σε μορφή JSON.
Το ShadowSpray στοχεύει να εκμεταλλευτεί τις άδειες GenericWrite/GenericAll που μπορεί να έχουν ευρείες ομάδες χρηστών σε αντικείμενα τομέα για να εφαρμόσει ευρέως τα ShadowCredentials. Περιλαμβάνει την είσοδο στον τομέα, την επαλήθευση του λειτουργικού επιπέδου του τομέα, την καταμέτρηση αντικειμένων τομέα και την προσπάθεια προσθήκης KeyCredentials για την απόκτηση TGT και την αποκάλυψη NT hash. Οι επιλογές καθαρισμού και οι αναδρομικές τακτικές εκμετάλλευσης ενισχύουν τη χρησιμότητά του.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
