AD CS Certificate Theft
Last updated
Last updated
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Bu, https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdf adresindeki harika araştırmanın Hırsızlık bölümlerinin küçük bir özetidir.
Sertifikaları nasıl çalacağınızı kontrol etmeden önce, sertifikanın ne için yararlı olduğunu bulmak hakkında bazı bilgilere sahip olmalısınız:
Bir etkileşimli masaüstü oturumu sırasında, bir kullanıcı veya makine sertifikasını, özel anahtarıyla birlikte çıkarmak kolayca yapılabilir, özellikle de özel anahtar dışa aktarılabilir ise. Bu, certmgr.msc
içinde sertifikaya giderek, sağ tıklayıp Tüm Görevler → Dışa Aktar
seçeneğini seçerek şifre korumalı bir .pfx dosyası oluşturmakla gerçekleştirilebilir.
Programatik bir yaklaşım için, PowerShell ExportPfxCertificate
cmdlet'i veya TheWover’ın CertStealer C# projesi gibi araçlar mevcuttur. Bu araçlar, sertifika deposuyla etkileşimde bulunmak için Microsoft CryptoAPI (CAPI) veya Kriptografi API: Yeni Nesil (CNG) kullanır. Bu API'ler, sertifika depolama ve kimlik doğrulama için gerekli olanlar da dahil olmak üzere bir dizi kriptografik hizmet sunar.
Ancak, bir özel anahtar dışa aktarılabilir olarak ayarlandığında, hem CAPI hem de CNG genellikle bu tür sertifikaların çıkarılmasını engeller. Bu kısıtlamayı aşmak için, Mimikatz gibi araçlar kullanılabilir. Mimikatz, özel anahtarların dışa aktarımına izin vermek için ilgili API'leri yamanan crypto::capi
ve crypto::cng
komutları sunar. Özellikle, crypto::capi
mevcut süreçte CAPI'yi yamarken, crypto::cng
lsass.exe'nin belleğini yamanmayı hedefler.
DPAPI hakkında daha fazla bilgi için:
DPAPI - Extracting PasswordsWindows'ta, sertifika özel anahtarları DPAPI ile korunmaktadır. Kullanıcı ve makine özel anahtarları için depolama yerlerinin farklı olduğunu ve dosya yapıların, işletim sistemi tarafından kullanılan kriptografik API'ye bağlı olarak değiştiğini anlamak önemlidir. SharpDPAPI, DPAPI blob'larını şifrelerini çözme sırasında bu farklılıkları otomatik olarak yönetebilen bir araçtır.
Kullanıcı sertifikaları, esasen HKEY_CURRENT_USER\SOFTWARE\Microsoft\SystemCertificates
kayıt defterinde yer alırken, bazıları %APPDATA%\Microsoft\SystemCertificates\My\Certificates
dizininde de bulunabilir. Bu sertifikalar için ilgili özel anahtarlar, genellikle CAPI anahtarları için %APPDATA%\Microsoft\Crypto\RSA\User SID\
ve CNG anahtarları için %APPDATA%\Microsoft\Crypto\Keys\
dizininde saklanır.
Bir sertifikayı ve ona bağlı özel anahtarı çıkarmak için süreç şunları içerir:
Kullanıcının deposundan hedef sertifikayı seçmek ve anahtar deposu adını almak.
İlgili özel anahtarı şifrelemek için gerekli DPAPI anahtarını bulmak.
Düz metin DPAPI anahtarını kullanarak özel anahtarı şifre çözmek.
Düz metin DPAPI anahtarını edinmek için aşağıdaki yaklaşımlar kullanılabilir:
Anahtar dosyalarının ve özel anahtar dosyalarının şifre çözümünü kolaylaştırmak için, SharpDPAPI içindeki certificates
komutu faydalıdır. Özel anahtarları ve bağlantılı sertifikaları şifre çözmek için /pvk
, /mkfile
, /password
veya {GUID}:KEY
argümanlarını kabul eder ve ardından bir .pem
dosyası oluşturur.
Windows tarafından kayıt defterinde HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates
altında saklanan makine sertifikaları ve %ALLUSERSPROFILE%\Application Data\Microsoft\Crypto\RSA\MachineKeys
(CAPI için) ve %ALLUSERSPROFILE%\Application Data\Microsoft\Crypto\Keys
(CNG için) altında bulunan ilgili özel anahtarlar, makinenin DPAPI anahtarları ile şifrelenmiştir. Bu anahtarlar, alanın DPAPI yedek anahtarı ile çözülemez; bunun yerine yalnızca SYSTEM kullanıcısının erişebileceği DPAPI_SYSTEM LSA sırrı gereklidir.
Manuel şifre çözme, Mimikatz içinde lsadump::secrets
komutunu çalıştırarak DPAPI_SYSTEM LSA sırrını çıkarmak ve ardından bu anahtarı makine anahtarlarını çözmek için kullanmakla gerçekleştirilebilir. Alternatif olarak, daha önce açıklandığı gibi CAPI/CNG yamanmasının ardından Mimikatz’ın crypto::certificates /export /systemstore:LOCAL_MACHINE
komutu kullanılabilir.
SharpDPAPI, sertifikalar komutuyla daha otomatik bir yaklaşım sunar. /machine
bayrağı yükseltilmiş izinlerle kullanıldığında, SYSTEM'e yükselir, DPAPI_SYSTEM LSA sırrını döker, bunu makine DPAPI anahtarlarını çözmek için kullanır ve ardından bu düz metin anahtarlarını herhangi bir makine sertifika özel anahtarını çözmek için bir arama tablosu olarak kullanır.
Sertifikalar bazen dosya sisteminde, örneğin dosya paylaşımlarında veya İndirilenler klasöründe doğrudan bulunabilir. Windows ortamlarına yönelik en yaygın karşılaşılan sertifika dosyası türleri .pfx
ve .p12
dosyalarıdır. Daha az sıklıkla, .pkcs12
ve .pem
uzantılı dosyalar da görünmektedir. Diğer dikkat çekici sertifika ile ilgili dosya uzantıları şunlardır:
Özel anahtarlar için .key
,
Sadece sertifikalar için .crt
/.cer
,
Sertifika İmzalama Talepleri için .csr
, bu dosyalar sertifikalar veya özel anahtarlar içermez,
Java uygulamaları tarafından kullanılan sertifikalar ile birlikte özel anahtarlar içerebilen Java Anahtar Mağazaları için .jks
/.keystore
/.keys
.
Bu dosyalar, belirtilen uzantıları arayarak PowerShell veya komut istemcisi kullanılarak aranabilir.
Bir PKCS#12 sertifika dosyası bulunduğunda ve bir şifre ile korunduğunda, pfx2john.py
kullanılarak bir hash çıkarılması mümkündür; bu dosya fossies.org adresinde mevcuttur. Ardından, şifreyi kırmaya çalışmak için JohnTheRipper kullanılabilir.
Verilen içerik, PKINIT aracılığıyla NTLM kimlik bilgisi hırsızlığı için THEFT5 olarak etiketlenen hırsızlık yöntemini açıklamaktadır. İşte içeriğin pasif sesle yeniden açıklaması, anonimleştirilmiş ve gerektiğinde özetlenmiştir:
Kerberos kimlik doğrulamasını desteklemeyen uygulamalar için NTLM kimlik doğrulamasını [MS-NLMP] sağlamak amacıyla, KDC, PKCA kullanıldığında, kullanıcının NTLM tek yönlü fonksiyonunu (OWF) ayrıcalık niteliği sertifikası (PAC) içinde, özellikle PAC_CREDENTIAL_INFO
tamponunda döndürmek üzere tasarlanmıştır. Sonuç olarak, bir hesap PKINIT aracılığıyla kimlik doğrulaması yapıp bir Ticket-Granting Ticket (TGT) elde ettiğinde, mevcut ana bilgisayarın NTLM hash'ini TGT'den çıkarmasını sağlayan bir mekanizma doğal olarak sağlanmış olur. Bu süreç, NTLM düz metninin NDR serileştirilmiş tasvirini içeren PAC_CREDENTIAL_DATA
yapısının şifre çözümlemesini içerir.
Kekeo aracı, https://github.com/gentilkiwi/kekeo adresinde erişilebilir olup, bu belirli veriyi içeren bir TGT talep etme yeteneğine sahip olduğu belirtilmektedir ve böylece kullanıcının NTLM'ini geri alma işlemini kolaylaştırmaktadır. Bu amaçla kullanılan komut aşağıdaki gibidir:
Ayrıca, pin'in alınabileceği durumlarda Kekeo'nun akıllı kart korumalı sertifikaları işleyebileceği belirtilmiştir, https://github.com/CCob/PinSwipe referans verilmiştir. Aynı yeteneğin Rubeus tarafından desteklendiği belirtilmektedir, https://github.com/GhostPack/Rubeus adresinde mevcuttur.
Bu açıklama, PKINIT aracılığıyla NTLM kimlik bilgisi çalınma sürecini ve bu süreçte yer alan araçları kapsar, PKINIT kullanılarak elde edilen TGT aracılığıyla NTLM hash'lerinin alınmasına odaklanır ve bu süreci kolaylaştıran yardımcı programları içerir.
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)