Kerberos Double Hop Problem
Last updated
Last updated
AWS Hacking öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Kerberos "Double Hop" problemi, bir saldırganın Kerberos kimlik doğrulamasını iki atlama üzerinden kullanmaya çalıştığında ortaya çıkar; örneğin PowerShell/WinRM kullanarak.
Bir kimlik doğrulaması Kerberos üzerinden gerçekleştiğinde, kimlik bilgileri bellekte önbelleğe alınmaz. Bu nedenle, mimikatz çalıştırırsanız, kullanıcı makinede işlem yürütsede kimlik bilgilerini bulamazsınız.
Bu, Kerberos ile bağlanırken izlenen adımlar nedeniyle olur:
User1 kimlik bilgilerini sağlar ve alan denetleyici User1'e bir Kerberos TGT döner.
User1, Server1'e bağlanmak için bir hizmet bileti talep etmek üzere TGT'yi kullanır.
User1 Server1'e bağlanır ve hizmet biletini sağlar.
Server1, User1'in kimlik bilgilerini veya User1'in TGT'sini önbelleğe almaz. Bu nedenle, User1 Server1'den ikinci bir sunucuya giriş yapmaya çalıştığında, kimlik doğrulaması yapılamaz.
Eğer PC'de sınırsız delegasyon etkinse, bu durum gerçekleşmez çünkü Sunucu, ona erişen her kullanıcının TGT'sini alır. Ayrıca, sınırsız delegasyon kullanılıyorsa, muhtemelen Alan Denetleyicisini ele geçirebilirsiniz. Sınırsız delegasyon sayfasında daha fazla bilgi.
Bu problemi önlemenin bir diğer yolu, belirgin şekilde güvensiz olan Kimlik Bilgisi Güvenlik Destek Sağlayıcısı'dır. Microsoft'tan:
CredSSP kimlik doğrulaması, kullanıcı kimlik bilgilerini yerel bilgisayardan uzak bir bilgisayara devreder. Bu uygulama, uzak işlemin güvenlik riskini artırır. Uzak bilgisayar ele geçirilirse, kimlik bilgileri ona iletildiğinde, bu kimlik bilgileri ağ oturumunu kontrol etmek için kullanılabilir.
Güvenlik endişeleri nedeniyle, CredSSP'nin üretim sistemlerinde, hassas ağlarda ve benzeri ortamlarda devre dışı bırakılması şiddetle önerilir. CredSSP'nin etkin olup olmadığını belirlemek için Get-WSManCredSSP
komutu çalıştırılabilir. Bu komut, CredSSP durumunu kontrol etmeye olanak tanır ve WinRM etkinse uzaktan da çalıştırılabilir.
Çift sıçrama sorununu ele almak için, iç içe bir Invoke-Command
yöntemi sunulmaktadır. Bu, sorunu doğrudan çözmez, ancak özel yapılandırmalara ihtiyaç duymadan bir çözüm sunar. Bu yaklaşım, bir komutun (hostname
) birincil saldırı makinesinden veya ilk sunucu ile daha önce kurulmuş bir PS-Session aracılığıyla bir ikincil sunucuda çalıştırılmasına olanak tanır. İşte nasıl yapıldığı:
Alternatif olarak, ilk sunucu ile bir PS-Session kurmak ve $cred
kullanarak Invoke-Command
çalıştırmak, görevleri merkezi hale getirmek için önerilmektedir.
Çift sıçrama sorununu aşmanın bir çözümü, Enter-PSSession
ile Register-PSSessionConfiguration
kullanmaktır. Bu yöntem, evil-winrm
'den farklı bir yaklaşım gerektirir ve çift sıçrama kısıtlamasından etkilenmeyen bir oturum sağlar.
Yerel yöneticiler için bir ara hedefte, port yönlendirme, isteklerin nihai bir sunucuya gönderilmesine olanak tanır. netsh
kullanarak, yönlendirilmiş portu izin vermek için bir Windows güvenlik duvarı kuralının yanı sıra port yönlendirme için bir kural eklenebilir.
winrs.exe
, PowerShell izleme bir endişe ise daha az tespit edilebilir bir seçenek olarak WinRM isteklerini iletmek için kullanılabilir. Aşağıdaki komut, kullanımını göstermektedir:
İlk sunucuya OpenSSH yüklemek, özellikle jump box senaryoları için yararlı olan double-hop sorununa bir çözüm sağlar. Bu yöntem, Windows için OpenSSH'nin CLI ile yüklenmesini ve yapılandırılmasını gerektirir. Parola Kimlik Doğrulaması için yapılandırıldığında, bu, aracılık sunucusunun kullanıcı adına bir TGT almasına olanak tanır.
En son OpenSSH sürüm zip dosyasını indirin ve hedef sunucuya taşıyın.
Zip dosyasını açın ve Install-sshd.ps1
betiğini çalıştırın.
Port 22'yi açmak için bir güvenlik duvarı kuralı ekleyin ve SSH hizmetlerinin çalıştığını doğrulayın.
Connection reset
hatalarını çözmek için, OpenSSH dizininde herkesin okuma ve çalıştırma erişimine izin vermek için izinlerin güncellenmesi gerekebilir.
AWS Hacking öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)