FreeIPA Pentesting
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
FreeIPA є відкритим альтернативою Microsoft Windows Active Directory, в основному для Unix середовищ. Він поєднує в собі повний LDAP каталог з MIT Kerberos Центром Розподілу Ключів для управління, подібним до Active Directory. Використовуючи систему сертифікатів Dogtag для управління сертифікатами CA та RA, він підтримує багатофакторну аутентифікацію, включаючи смарт-картки. SSSD інтегровано для процесів аутентифікації Unix.
Файл за адресою /etc/krb5.conf
є місцем, де зберігається інформація клієнта Kerberos, необхідна для реєстрації в домені. Це включає місця розташування KDC та серверів адміністраторів, налаштування за замовчуванням та відображення.
Системні за замовчуванням для клієнтів та серверів IPA встановлюються у файлі, розташованому за адресою /etc/ipa/default.conf
.
Хости в домені повинні мати файл krb5.keytab
за адресою /etc/krb5.keytab
для процесів аутентифікації.
Різні змінні середовища (KRB5CCNAME
, KRB5_KTNAME
, KRB5_CONFIG
, KRB5_KDC_PROFILE
, KRB5RCACHETYPE
, KRB5RCACHEDIR
, KRB5_TRACE
, KRB5_CLIENT_KTNAME
, KPROP_PORT
) використовуються для вказівки на конкретні файли та налаштування, що стосуються аутентифікації Kerberos.
Інструменти, такі як ipa
, kdestroy
, kinit
, klist
, kpasswd
, ksu
, kswitch
та kvno
, є центральними для управління доменами FreeIPA, обробки квитків Kerberos, зміни паролів та отримання сервісних квитків, серед інших функцій.
Надається ілюстрація, щоб зобразити типову конфігурацію сервера FreeIPA.
Аутентифікація в FreeIPA, використовуючи Kerberos, відображає таку в Active Directory. Доступ до ресурсів домену вимагає дійсного квитка Kerberos, який може зберігатися в різних місцях залежно від конфігурації домену FreeIPA.
Файли CCACHE, зазвичай зберігаються в /tmp
з 600 правами доступу, є бінарними форматами для зберігання облікових даних Kerberos, важливими для аутентифікації без відкритого пароля користувача завдяки їх портативності. Аналіз квитка CCACHE можна виконати за допомогою команди klist
, а повторне використання дійсного квитка CCACHE передбачає експорт KRB5CCNAME
до шляху файлу квитка.
Альтернативно, квитки CCACHE можуть зберігатися в ключовій системі Linux, що пропонує більше контролю над управлінням квитками. Обсяг зберігання квитків варіюється (KEYRING:name
, KEYRING:process:name
, KEYRING:thread:name
, KEYRING:session:name
, KEYRING:persistent:uidnumber
), при цьому klist
здатний аналізувати цю інформацію для користувача. Однак повторне використання квитка CCACHE з ключової системи Unix може бути складним, з такими інструментами, як Tickey, доступними для витягування квитків Kerberos.
Файли keytab, що містять принципали Kerberos та зашифровані ключі, є критично важливими для отримання дійсних квитків на надання квитків (TGT) без необхідності пароля принципала. Аналіз та повторне використання облікових даних з файлів keytab можна легко виконати за допомогою утиліт, таких як klist
, та скриптів, таких як KeytabParser.
Ви можете знайти більше інформації про те, як використовувати квитки в linux за наступним посиланням:
Linux Active DirectoryВи можете виконати enumeration через ldap та інші binary інструменти, або підключившись до веб-сторінки на порту 443 сервера FreeIPA.
Можливо створити hosts, users та groups. Хости та користувачі сортуються в контейнери, звані “Host Groups” та “User Groups” відповідно. Це подібно до Організаційних Одиниць (OU).
За замовчуванням у FreeIPA сервер LDAP дозволяє анонімні прив'язки, і велика частина даних є перерахованою неаутентифікованою. Це може перерахувати всі дані, доступні неаутентифікованим:
Щоб отримати більше інформації, вам потрібно використовувати авторизовану сесію (перегляньте розділ Аутентифікація, щоб дізнатися, як підготувати авторизовану сесію).
З машини, приєднаної до домену, ви зможете використовувати встановлені двійкові файли для перерахунку домену:
Користувач admin у FreeIPA є еквівалентом domain admins з AD.
Користувач root з IPA server має доступ до паролів hashes.
Парольний хеш користувача зберігається як base64 в атрибуті “userPassword”. Цей хеш може бути SSHA512 (старі версії FreeIPA) або PBKDF2_SHA256.
Nthash пароля зберігається як base64 в “ipaNTHash”, якщо система має інтеграцію з AD.
Щоб зламати ці хеші:
• Якщо freeIPA інтегровано з AD, ipaNTHash легко зламати: Вам слід декодувати base64 -> повторно закодувати його як ASCII hex -> John The Ripper або hashcat можуть допомогти вам швидко його зламати.
• Якщо використовується стара версія FreeIPA, то використовується SSHA512: Вам слід декодувати base64 -> знайти SSHA512 hash -> John The Ripper або hashcat можуть допомогти вам його зламати.
• Якщо використовується нова версія FreeIPA, то використовується PBKDF2_SHA256: Вам слід декодувати base64 -> знайти PBKDF2_SHA256 -> його довжина становить 256 байт. John може працювати з 256 бітами (32 байти) -> SHA-265 використовується як псевдовипадкова функція, розмір блоку становить 32 байти -> ви можете використовувати лише перші 256 біт нашого PBKDF2_SHA256 хешу -> John The Ripper або hashcat можуть допомогти вам його зламати.
Щоб витягти хеші, вам потрібно бути root на сервері FreeIPA, там ви можете використовувати інструмент dbscan
для їх витягування:
Це правила, які надають конкретні дозволи користувачам або хостам на ресурси (хости, сервіси, групи сервісів...)
FreeIPA дозволяє централізований контроль над sudo permissions через sudo-правила. Ці правила дозволяють або обмежують виконання команд з sudo на хостах у домені. Зловмисник може потенційно визначити відповідні хости, користувачів та дозволені команди, вивчаючи ці набори правил.
Роль складається з різних привілеїв, кожен з яких охоплює колекцію дозволів. Ці ролі можуть бути призначені Користувачам, Групам Користувачів, Хостам, Групам Хостів та Сервісам. Наприклад, розглянемо роль за замовчуванням “Адміністратор Користувачів” у FreeIPA, щоб проілюструвати цю структуру.
Роль Адміністратор Користувачів
має ці привілеї:
Адміністратори Користувачів
Адміністратори Груп
Адміністратори Користувачів Стадії
За допомогою наступних команд можна перерахувати ролі, привілеї та дозволи:
В https://posts.specterops.io/attacking-freeipa-part-iii-finding-a-path-677405b5b95e ви можете знайти простий приклад того, як зловживати деякими правами для компрометації домену.
Якщо ви можете створити нового користувача з ім'ям root
, ви можете видавати себе за нього і зможете SSH на будь-яку машину як root.
ЦЕ БУЛО ВИПРАВЛЕНО.
Ви можете перевірити детальне пояснення в https://posts.specterops.io/attacking-freeipa-part-iv-cve-2020-10747-7c373a1bf66b
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)