AD CS Account Persistence
Last updated
Last updated
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Bu, https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdf adresindeki harika araştırmanın makine sürekliliği bölümlerinin küçük bir özetidir.
Bir kullanıcının alan kimlik doğrulamasına izin veren bir sertifika talep edebileceği bir senaryoda, bir saldırganın bu sertifikayı talep etme ve çalma fırsatı vardır; bu da bir ağda sürekliliği sağlamak için kullanılır. Varsayılan olarak, Active Directory'deki User
şablonu bu tür taleplere izin verir, ancak bazen devre dışı bırakılabilir.
Certify adlı bir araç kullanarak, sürekli erişimi sağlayan geçerli sertifikaları aramak mümkündür:
Bir sertifikanın gücünün, sertifikanın ait olduğu kullanıcı olarak kimlik doğrulama yeteneğinde yattığı vurgulanmaktadır; bu, sertifika geçerli kaldığı sürece, herhangi bir şifre değişikliğinden bağımsızdır.
Sertifikalar, certmgr.msc
kullanarak grafik arayüz üzerinden veya certreq.exe
ile komut satırından talep edilebilir. Certify ile, bir sertifika talep etme süreci aşağıdaki gibi basitleştirilmiştir:
Başarılı bir istek üzerine, .pem
formatında bir sertifika ve ona ait özel anahtar oluşturulur. Bunu Windows sistemlerinde kullanılabilir bir .pfx
dosyasına dönüştürmek için aşağıdaki komut kullanılır:
.pfx
dosyası daha sonra bir hedef sisteme yüklenebilir ve kullanıcının Ticket Granting Ticket (TGT) talep etmesi için Rubeus adlı bir araçla kullanılabilir, saldırganın erişimini sertifika geçerli olduğu sürece (genellikle bir yıl) uzatır:
Önemli bir uyarı, bu tekniğin, THEFT5 bölümünde belirtilen başka bir yöntemle birleştirildiğinde, bir saldırganın NTLM hash'ini sürekli olarak elde etmesine olanak tanıdığı ve Yerel Güvenlik Otoritesi Alt Sistemi Hizmeti (LSASS) ile etkileşime girmeden, yükseltilmemiş bir bağlamdan sağladığı, uzun vadeli kimlik bilgisi hırsızlığı için daha gizli bir yöntem sunduğunu paylaşmaktadır.
Başka bir yöntem, bir tehlikeye atılmış sistemin makine hesabını bir sertifika için kaydettirmeyi içerir; bu, böyle eylemlere izin veren varsayılan Machine
şablonunu kullanır. Bir saldırgan bir sistemde yükseltilmiş ayrıcalıklar elde ederse, SYSTEM hesabını kullanarak sertifika talep edebilir ve bu da bir tür süreklilik sağlar:
Bu erişim, saldırgana makine hesabı olarak Kerberos'a kimlik doğrulama yapma ve S4U2Self kullanarak host üzerindeki herhangi bir hizmet için Kerberos hizmet biletleri alma yetkisi verir, bu da saldırgana makineye kalıcı erişim sağlar.
Son yöntem, sertifika şablonlarının geçerlilik ve yenileme sürelerini kullanmayı içerir. Bir sertifikayı süresi dolmadan önce yenileyerek, bir saldırgan, Sertifika Otoritesi (CA) sunucusunda iz bırakabilecek ek bilet kaydı gereksinimi olmadan Active Directory'ye kimlik doğrulamasını sürdürebilir.
Bu yaklaşım, CA sunucusuyla daha az etkileşimle tespit edilme riskini en aza indirerek ve yöneticileri saldırıya karşı uyaran artefaktların üretilmesini önleyerek uzatılmış kalıcılık yöntemi sağlar.