AD CS Account Persistence
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ovo je kratak pregled poglavlja o postojanosti mašine iz sjajnog istraživanja sa https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdf
U scenariju gde korisnik može da zatraži sertifikat koji omogućava autentifikaciju domena, napadač ima priliku da zatraži i ukrade ovaj sertifikat kako bi održao postojanost na mreži. Po defaultu, User
šablon u Active Directory omogućava takve zahteve, iako može ponekad biti onemogućen.
Korišćenjem alata pod nazivom Certify, može se pretraživati za validnim sertifikatima koji omogućavaju postojan pristup:
Istaknuto je da moć sertifikata leži u njegovoj sposobnosti da autentifikuje kao korisnik kojem pripada, bez obzira na bilo kakve promene lozinke, sve dok sertifikat ostaje važeći.
Sertifikati se mogu tražiti putem grafičkog interfejsa koristeći certmgr.msc
ili putem komandne linije sa certreq.exe
. Sa Certify, proces traženja sertifikata je pojednostavljen na sledeći način:
Upon successful request, a certificate along with its private key is generated in .pem
format. Da biste to konvertovali u .pfx
datoteku, koja se može koristiti na Windows sistemima, koristi se sledeća komanda:
Datoteka .pfx
se zatim može otpremiti na ciljni sistem i koristiti sa alatom pod nazivom Rubeus za zahtev za Ticket Granting Ticket (TGT) za korisnika, produžavajući pristup napadača sve dok je sertifikat važeći (obično jednu godinu):
Važna upozorenja se dele o tome kako ova tehnika, u kombinaciji sa drugom metodom opisano u sekciji THEFT5, omogućava napadaču da trajno dobije NTLM hash naloga bez interakcije sa Local Security Authority Subsystem Service (LSASS), i iz ne-eleviranog konteksta, pružajući diskretniju metodu za dugoročno krađu akreditiva.
Druga metoda uključuje registraciju mašinskog naloga kompromitovanog sistema za sertifikat, koristeći podrazumevani Machine
šablon koji omogućava takve akcije. Ako napadač dobije elevirane privilegije na sistemu, može koristiti SYSTEM nalog da zatraži sertifikate, pružajući oblik postojanosti:
Ovaj pristup omogućava napadaču da se autentifikuje na Kerberos kao mašinski nalog i koristi S4U2Self da dobije Kerberos servisne karte za bilo koju uslugu na hostu, efektivno dajući napadaču postojan pristup mašini.
Poslednja metoda koja se razmatra uključuje korišćenje važenja i perioda obnove šablona sertifikata. Obnavljanjem sertifikata pre njegovog isteka, napadač može održati autentifikaciju na Active Directory bez potrebe za dodatnim upisima karata, što bi moglo ostaviti tragove na serveru Sertifikacione Autoritete (CA).
Ovaj pristup omogućava produženu postojanost, minimizirajući rizik od otkrivanja kroz manje interakcija sa CA serverom i izbegavajući generisanje artefakata koji bi mogli upozoriti administratore na upad.