AD CS Certificate Theft
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Hii ni muhtasari mdogo wa sura za Wizi za utafiti mzuri kutoka https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdf
Kabla ya kuangalia jinsi ya kuiba vyeti, hapa kuna taarifa kuhusu jinsi ya kupata kile cheti kinaweza kutumika:
Katika kipindi cha desktop cha mwingiliano, kutoa cheti cha mtumiaji au mashine, pamoja na funguo binafsi, kunaweza kufanywa kwa urahisi, hasa ikiwa funguo binafsi inaweza kusafirishwa. Hii inaweza kufanywa kwa kuingia kwenye cheti katika certmgr.msc
, kubonyeza kulia juu yake, na kuchagua All Tasks → Export
ili kuunda faili ya .pfx iliyo na nenosiri.
Kwa mbinu ya programu, zana kama vile PowerShell ExportPfxCertificate
cmdlet au miradi kama Mradi wa CertStealer C# wa TheWover zinapatikana. Hizi hutumia Microsoft CryptoAPI (CAPI) au Cryptography API: Next Generation (CNG) kuingiliana na duka la vyeti. APIs hizi zinatoa huduma mbalimbali za kificho, ikiwa ni pamoja na zile zinazohitajika kwa ajili ya uhifadhi wa vyeti na uthibitishaji.
Hata hivyo, ikiwa funguo binafsi imewekwa kama isiyoweza kusafirishwa, CAPI na CNG kawaida zitazuia utoaji wa vyeti kama hivyo. Ili kupita kizuizi hiki, zana kama Mimikatz zinaweza kutumika. Mimikatz inatoa amri za crypto::capi
na crypto::cng
kubadilisha APIs husika, kuruhusu usafirishaji wa funguo binafsi. Kwa haswa, crypto::capi
inabadilisha CAPI ndani ya mchakato wa sasa, wakati crypto::cng
inalenga kumbukumbu ya lsass.exe kwa ajili ya kubadilisha.
Maelezo zaidi kuhusu DPAPI katika:
DPAPI - Extracting PasswordsKatika Windows, funguo binafsi za cheti zinalindwa na DPAPI. Ni muhimu kutambua kwamba sehemu za uhifadhi za funguo binafsi za mtumiaji na mashine ni tofauti, na muundo wa faili hutofautiana kulingana na API ya kificho inayotumiwa na mfumo wa uendeshaji. SharpDPAPI ni zana ambayo inaweza kuzunguka tofauti hizi kiotomatiki wakati wa kufungua DPAPI blobs.
Vyeti vya mtumiaji kwa kawaida vinahifadhiwa katika rejista chini ya HKEY_CURRENT_USER\SOFTWARE\Microsoft\SystemCertificates
, lakini vingine vinaweza pia kupatikana katika directory %APPDATA%\Microsoft\SystemCertificates\My\Certificates
. Funguo binafsi zinazohusiana na vyeti hivi kwa kawaida huhifadhiwa katika %APPDATA%\Microsoft\Crypto\RSA\User SID\
kwa funguo za CAPI na %APPDATA%\Microsoft\Crypto\Keys\
kwa funguo za CNG.
Ili kutoa cheti na funguo binafsi zinazohusiana, mchakato unajumuisha:
Kuchagua cheti lengwa kutoka duka la mtumiaji na kupata jina la duka la funguo zake.
Kutatua DPAPI masterkey inayohitajika ili kufungua funguo binafsi husika.
Kufungua funguo binafsi kwa kutumia DPAPI masterkey ya maandiko.
Kwa kupata DPAPI masterkey ya maandiko, mbinu zifuatazo zinaweza kutumika:
Ili kuboresha ufichuzi wa faili za masterkey na faili za funguo binafsi, amri ya certificates
kutoka SharpDPAPI inathibitisha kuwa na manufaa. Inakubali /pvk
, /mkfile
, /password
, au {GUID}:KEY
kama hoja za kufichua funguo binafsi na vyeti vilivyohusishwa, kisha inazalisha faili ya .pem
.
Cheti za mashine zinahifadhiwa na Windows katika rejista kwenye HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates
na funguo za faragha zinazohusiana ziko katika %ALLUSERSPROFILE%\Application Data\Microsoft\Crypto\RSA\MachineKeys
(kwa CAPI) na %ALLUSERSPROFILE%\Application Data\Microsoft\Crypto\Keys
(kwa CNG) zimefungwa kwa kutumia funguo za DPAPI za mashine. Funguo hizi haziwezi kufunguliwa kwa funguo za akiba za DPAPI za kanda; badala yake, DPAPI_SYSTEM LSA siri, ambayo ni lazima iweze kufikiwa tu na mtumiaji wa SYSTEM, inahitajika.
Funguo za kufungua zinaweza kupatikana kwa kutekeleza amri lsadump::secrets
katika Mimikatz ili kutoa siri ya DPAPI_SYSTEM LSA, na kisha kutumia funguo hii kufungua funguo za mashine. Vinginevyo, amri ya Mimikatz crypto::certificates /export /systemstore:LOCAL_MACHINE
inaweza kutumika baada ya kurekebisha CAPI/CNG kama ilivyoelezwa hapo awali.
SharpDPAPI inatoa njia ya kiotomatiki zaidi na amri zake za vyeti. Wakati bendera ya /machine
inapotumika na ruhusa za juu, inainua hadi SYSTEM, inatoa siri ya DPAPI_SYSTEM LSA, inaitumia kufungua funguo za DPAPI za mashine, na kisha inatumia funguo hizi za maandiko kama jedwali la kutafuta kufungua funguo zozote za faragha za cheti cha mashine.
Vyeti wakati mwingine hupatikana moja kwa moja ndani ya mfumo wa faili, kama vile katika sehemu za faili au folda ya Downloads. Aina za faili za vyeti zinazokutana mara nyingi zinazolengwa kwa mazingira ya Windows ni faili za .pfx
na .p12
. Ingawa si mara nyingi, faili zenye viambatisho .pkcs12
na .pem
pia huonekana. Viambatisho vingine vya faili vinavyohusiana na vyeti ni pamoja na:
.key
kwa funguo za faragha,
.crt
/.cer
kwa vyeti pekee,
.csr
kwa Maombi ya Kusaini Vyeti, ambavyo havina vyeti au funguo za faragha,
.jks
/.keystore
/.keys
kwa Java Keystores, ambazo zinaweza kuwa na vyeti pamoja na funguo za faragha zinazotumiwa na programu za Java.
Faili hizi zinaweza kutafutwa kwa kutumia PowerShell au amri ya kuagiza kwa kutafuta viambatisho vilivyotajwa.
Katika hali ambapo faili ya cheti ya PKCS#12 inapatikana na inalindwa na nenosiri, utoaji wa hash unaweza kupatikana kwa kutumia pfx2john.py
, inayopatikana kwenye fossies.org. Kisha, JohnTheRipper inaweza kutumika kujaribu kuvunja nenosiri.
Maudhui yaliyotolewa yanaelezea mbinu ya wizi wa akidi za NTLM kupitia PKINIT, hasa kupitia mbinu ya wizi iliyopewa jina THEFT5. Hapa kuna ufafanuzi wa upya kwa sauti ya pasivi, huku maudhui yakiwa yamefichwa na kufupishwa inapowezekana:
Ili kusaidia uthibitishaji wa NTLM [MS-NLMP] kwa programu ambazo hazifanyii kazi uthibitishaji wa Kerberos, KDC imeundwa kurudisha kazi ya moja kwa moja ya NTLM (OWF) ya mtumiaji ndani ya cheti cha sifa (PAC), hasa katika buffer ya PAC_CREDENTIAL_INFO
, wakati PKCA inatumika. Kwa hivyo, iwapo akaunti itathibitisha na kupata Tiketi ya Kutoa Tiketi (TGT) kupitia PKINIT, mekanizma inapatikana ambayo inaruhusu mwenyeji wa sasa kutoa hash ya NTLM kutoka kwa TGT ili kudumisha itifaki za uthibitishaji za zamani. Mchakato huu unajumuisha ufichuzi wa muundo wa PAC_CREDENTIAL_DATA
, ambao kimsingi ni picha ya NDR iliyosimbwa ya NTLM ya maandiko.
Zana Kekeo, inayopatikana kwenye https://github.com/gentilkiwi/kekeo, inatajwa kama yenye uwezo wa kuomba TGT inayojumuisha data hii maalum, hivyo kurahisisha upatikanaji wa NTLM wa mtumiaji. Amri inayotumika kwa kusudi hili ni kama ifuatavyo:
Zaidi ya hayo, inabainishwa kuwa Kekeo inaweza kushughulikia vyeti vilivyolindwa na kadi za smartcard, ikiwa pini inaweza kupatikana, huku ikirejelea https://github.com/CCob/PinSwipe. Uwezo huo huo unaripotiwa kuungwa mkono na Rubeus, inayopatikana kwenye https://github.com/GhostPack/Rubeus.
Maelezo haya yanajumuisha mchakato na zana zinazohusika katika wizi wa akidi za NTLM kupitia PKINIT, zikilenga katika kupata hash za NTLM kupitia TGT iliyopatikana kwa kutumia PKINIT, na matumizi yanayosaidia mchakato huu.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)