Kerberos Double Hop Problem
Last updated
Last updated
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Problem "podwójnego skoku" Kerberos pojawia się, gdy atakujący próbuje użyć uwierzytelniania Kerberos przez dwa skoki, na przykład używając PowerShell/WinRM.
Gdy następuje uwierzytelnienie przez Kerberos, poświadczenia nie są buforowane w pamięci. Dlatego, jeśli uruchomisz mimikatz, nie znajdziesz poświadczeń użytkownika na maszynie, nawet jeśli uruchamia on procesy.
Dzieje się tak, ponieważ podczas łączenia z Kerberos następują następujące kroki:
Użytkownik1 podaje poświadczenia, a kontroler domeny zwraca Kerberos TGT do Użytkownika1.
Użytkownik1 używa TGT do zażądania biletu serwisowego do połączenia z Serwerem1.
Użytkownik1 łączy się z Serwerem1 i podaje bilet serwisowy.
Serwer1 nie ma poświadczeń Użytkownika1 buforowanych ani TGT Użytkownika1. Dlatego, gdy Użytkownik1 z Serwera1 próbuje zalogować się do drugiego serwera, nie może się uwierzytelnić.
Jeśli nieograniczona delegacja jest włączona na PC, to nie nastąpi, ponieważ Serwer otrzyma TGT każdego użytkownika, który uzyskuje do niego dostęp. Ponadto, jeśli używana jest nieograniczona delegacja, prawdopodobnie możesz skompromentować kontroler domeny z tego. Więcej informacji na stronie dotyczącej nieograniczonej delegacji.
Innym sposobem na uniknięcie tego problemu, który jest szczególnie niebezpieczny, jest Credential Security Support Provider. Z Microsoftu:
Uwierzytelnianie CredSSP deleguje poświadczenia użytkownika z lokalnego komputera do zdalnego komputera. Ta praktyka zwiększa ryzyko bezpieczeństwa zdalnej operacji. Jeśli zdalny komputer zostanie skompromitowany, gdy poświadczenia są do niego przekazywane, poświadczenia mogą być używane do kontrolowania sesji sieciowej.
Zaleca się, aby CredSSP był wyłączony w systemach produkcyjnych, wrażliwych sieciach i podobnych środowiskach z powodu obaw o bezpieczeństwo. Aby sprawdzić, czy CredSSP jest włączony, można uruchomić polecenie Get-WSManCredSSP
. To polecenie pozwala na sprawdzenie statusu CredSSP i może być nawet wykonywane zdalnie, pod warunkiem, że WinRM jest włączony.
Aby rozwiązać problem podwójnego skoku, przedstawiona jest metoda z wykorzystaniem zagnieżdżonego Invoke-Command
. Nie rozwiązuje to problemu bezpośrednio, ale oferuje obejście bez potrzeby specjalnych konfiguracji. Podejście to pozwala na wykonanie polecenia (hostname
) na drugim serwerze za pomocą polecenia PowerShell wykonanego z początkowej maszyny atakującej lub przez wcześniej ustanowioną sesję PS z pierwszym serwerem. Oto jak to zrobić:
Alternatywnie, sugeruje się nawiązanie sesji PS z pierwszym serwerem i uruchomienie Invoke-Command
z użyciem $cred
w celu centralizacji zadań.
Rozwiązanie do obejścia problemu podwójnego skoku polega na użyciu Register-PSSessionConfiguration
z Enter-PSSession
. Ta metoda wymaga innego podejścia niż evil-winrm
i pozwala na sesję, która nie cierpi z powodu ograniczenia podwójnego skoku.
Dla lokalnych administratorów na pośrednim celu, przekierowanie portów umożliwia wysyłanie żądań do docelowego serwera. Używając netsh
, można dodać regułę dla przekierowania portów, obok reguły zapory systemu Windows, aby zezwolić na przekierowany port.
winrs.exe
może być używany do przekazywania żądań WinRM, potencjalnie jako mniej wykrywalna opcja, jeśli monitorowanie PowerShell jest problemem. Poniższe polecenie demonstruje jego użycie:
Zainstalowanie OpenSSH na pierwszym serwerze umożliwia obejście problemu podwójnego skoku, szczególnie przydatne w scenariuszach z jump box. Ta metoda wymaga instalacji i konfiguracji OpenSSH dla Windows za pomocą CLI. Gdy jest skonfigurowana do uwierzytelniania hasłem, pozwala to serwerowi pośredniczącemu uzyskać TGT w imieniu użytkownika.
Pobierz i przenieś najnowszą wersję OpenSSH w formacie zip na docelowy serwer.
Rozpakuj i uruchom skrypt Install-sshd.ps1
.
Dodaj regułę zapory, aby otworzyć port 22 i zweryfikuj, czy usługi SSH działają.
Aby rozwiązać błędy Connection reset
, może być konieczne zaktualizowanie uprawnień, aby umożliwić wszystkim dostęp do odczytu i wykonania w katalogu OpenSSH.
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)