Shadow Credentials
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Check the original post for all the information about this technique.
Özetle: Eğer bir kullanıcı/bilgisayarın msDS-KeyCredentialLink özelliğine yazabiliyorsanız, o nesnenin NT hash'ini alabilirsiniz.
Gönderide, hedefin NTLM hash'ini içeren benzersiz bir Service Ticket almak için public-private key authentication credentials kurma yöntemi özetlenmiştir. Bu süreç, şifrelenmiş NTLM_SUPPLEMENTAL_CREDENTIAL'in deşifre edilebileceği Privilege Attribute Certificate (PAC) içindeki NTLM_SUPPLEMENTAL_CREDENTIAL'i içerir.
Bu tekniği uygulamak için belirli koşulların sağlanması gerekir:
En az bir Windows Server 2016 Domain Controller gereklidir.
Domain Controller'da bir sunucu kimlik doğrulama dijital sertifikası yüklü olmalıdır.
Active Directory, Windows Server 2016 Fonksiyonel Seviyesinde olmalıdır.
Hedef nesnenin msDS-KeyCredentialLink niteliğini değiştirmek için yetkilendirilmiş bir hesaba ihtiyaç vardır.
Bilgisayar nesneleri için Key Trust'un kötüye kullanımı, Ticket Granting Ticket (TGT) ve NTLM hash'ini elde etmenin ötesinde adımlar içerir. Seçenekler şunlardır:
Hedef ana bilgisayarda ayrıcalıklı kullanıcılar olarak hareket etmek için bir RC4 silver ticket oluşturmak.
S4U2Self ile TGT'yi kullanarak ayrıcalıklı kullanıcıların taklit edilmesi, bu da hizmet adını eklemek için Service Ticket'ta değişiklikler gerektirir.
Key Trust kötüye kullanımının önemli bir avantajı, saldırgan tarafından üretilen özel anahtarla sınırlı olmasıdır; bu, potansiyel olarak savunmasız hesaplara devredilmesini önler ve kaldırılması zor olabilecek bir bilgisayar hesabı oluşturulmasını gerektirmez.
### Whisker
Bu saldırı için bir C# arayüzü sağlayan DSInternals'a dayanmaktadır. Whisker ve Python karşılığı pyWhisker, Active Directory hesapları üzerinde kontrol sağlamak için msDS-KeyCredentialLink
niteliğini manipüle etmeyi mümkün kılar. Bu araçlar, hedef nesneden anahtar kimlik bilgilerini ekleme, listeleme, kaldırma ve temizleme gibi çeşitli işlemleri destekler.
Whisker işlevleri şunlardır:
Add: Bir anahtar çifti oluşturur ve bir anahtar kimlik bilgisi ekler.
List: Tüm anahtar kimlik bilgisi girişlerini görüntüler.
Remove: Belirtilen bir anahtar kimliğini siler.
Clear: Tüm anahtar kimlik bilgilerini siler, bu da meşru WHfB kullanımını bozabilir.
Whisker işlevselliğini UNIX tabanlı sistemler için genişletir, kapsamlı istismar yetenekleri için Impacket ve PyDSInternals'dan yararlanarak KeyCredentials'ı listeleme, ekleme ve kaldırma işlemlerinin yanı sıra bunları JSON formatında içe ve dışa aktarma işlemlerini de içerir.
ShadowSpray, genel kullanıcı gruplarının alan nesneleri üzerinde sahip olabileceği GenericWrite/GenericAll izinlerini istismar etmeyi amaçlar ve ShadowCredentials'ı geniş bir şekilde uygulamayı hedefler. Bu, alanın içine giriş yapmayı, alanın işlevsel seviyesini doğrulamayı, alan nesnelerini listelemeyi ve TGT edinimi ve NT hash ifşası için KeyCredentials eklemeye çalışmayı içerir. Temizlik seçenekleri ve yinelemeli istismar taktikleri, kullanımını artırır.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)