FreeIPA Pentesting
Basiese Inligting
FreeIPA is 'n oopbron alternatief vir Microsoft Windows Active Directory, hoofsaaklik vir Unix-omgewings. Dit kombineer 'n volledige LDAP-gids met 'n MIT Kerberos Sleutelverspreidingsentrum vir bestuur soortgelyk aan Active Directory. Deur die Dogtag Sertifikaatstelsel vir CA & RA sertifikaatbestuur te gebruik, ondersteun dit multi-faktor outentisering, insluitend slimkaarte. SSSD is geïntegreer vir Unix-outentiseringsprosesse.
Vingerafdrukke
Lêers & Omgewingsveranderlikes
Die lêer by
/etc/krb5.conf
is waar Kerberos-kliëntinligting, wat nodig is vir inskrywing in die domein, gestoor word. Dit sluit KDC's en adminbedieners se ligging, verstekinstellings, en karterings in.Stelselwye verstekinstellings vir IPA-kliënte en -bedieners word in die lêer by
/etc/ipa/default.conf
ingestel.Gasheerders binne die domein moet 'n
krb5.keytab
-lêer by/etc/krb5.keytab
hê vir outentiseringsprosesse.Verskeie omgewingsveranderlikes (
KRB5CCNAME
,KRB5_KTNAME
,KRB5_CONFIG
,KRB5_KDC_PROFILE
,KRB5RCACHETYPE
,KRB5RCACHEDIR
,KRB5_TRACE
,KRB5_CLIENT_KTNAME
,KPROP_PORT
) word gebruik om na spesifieke lêers en instellings te verwys wat relevant is vir Kerberos-outentisering.
Binêr
Gereedskap soos ipa
, kdestroy
, kinit
, klist
, kpasswd
, ksu
, kswitch
, en kvno
is sentraal vir die bestuur van FreeIPA-domeine, hanteer Kerberos-kaartjies, verander wagwoorde, en verkry dienskaartjies, onder andere funksies.
Netwerk
'n Illustrasie word voorsien om 'n tipiese FreeIPA-bedieneropstelling uit te beeld.
Outentisering
Outentisering in FreeIPA, wat Kerberos benut, weerspieël dit in Active Directory. Toegang tot domeinbronne vereis 'n geldige Kerberos-kaartjie, wat op verskeie plekke gestoor kan word, afhangende van FreeIPA-domeinopset.
CCACHE Kaartjieleêrs
CCACHE-lêers, tipies gestoor in /tmp
met 600-permissies, is binêre formate vir die stoor van Kerberos-legitimasie, belangrik vir outentisering sonder 'n gebruiker se platte teks wagwoord as gevolg van hul draagbaarheid. Die ontleding van 'n CCACHE-kaartjie kan gedoen word deur die klist
-bevel, en die hergebruik van 'n geldige CCACHE-kaartjie behels die uitvoer van KRB5CCNAME
na die pad van die kaartjieleêr.
Unix Sleutelring
Alternatief kan CCACHE-kaartjies in die Linux-sleutelring gestoor word, wat meer beheer oor kaartjiebestuur bied. Die omvang van kaartjiestoor wissel (KEYRING:name
, KEYRING:process:name
, KEYRING:thread:name
, KEYRING:session:name
, KEYRING:persistent:uidnumber
), met klist
wat in staat is om hierdie inligting vir die gebruiker te ontled. Nietemin kan die hergebruik van 'n CCACHE-kaartjie van die Unix-sleutelring uitdagings bied, met gereedskap soos Tickey beskikbaar vir die onttrekking van Kerberos-kaartjies.
Keytab
Keytab-lêers, wat Kerberos-prinsipale en versleutelde sleutels bevat, is krities vir die verkryging van geldige kaartjie-verlening-kaartjies (TGT) sonder om die prinsipaal se wagwoord nodig te hê. Die ontleding en hergebruik van legitimasie van keytab-lêers kan maklik uitgevoer word met gereedskap soos klist
en skripte soos KeytabParser.
Spiekbrief
Meer inligting oor hoe om kaartjies in Linux te gebruik, kan gevind word by die volgende skakel:
pageLinux Active DirectoryEnumerasie
Jy kan die enumerasie uitvoer via ldap en ander binêre gereedskap, of verbind met die webblad op poort 443 van die FreeIPA-bediener.
Gasheerders, Gebruikers, en Groepe
Dit is moontlik om gasheerders, gebruikers en groepe te skep. Gasheerders en gebruikers word in houers genaamd "Gasheergroepe" en "Gebruikergroepe" geplaas onderskeidelik. Hierdie is soortgelyk aan Organisasie-eenhede (OU).
Standaard in FreeIPA, laat die LDAP-bediener toe vir anonieme bindstelle, en 'n groot deel van die data is opvraagbaar sonder outentisering. Dit kan alle beskikbare data opvraag sonder outentisering:
Om meer inligting te kry, moet jy 'n geautentiseerde sessie gebruik (kontroleer die Auteurskapsafdeling om te leer hoe om 'n geautentiseerde sessie voor te berei).
Vanaf 'n domein-gekoppelde masjien sal jy in staat wees om geïnstalleerde bineêre lêers te gebruik om die domein te ontleed:
Die admin gebruiker van FreeIPA is die ekwivalent van domain admins van AD.
Hasse
Die root gebruiker van die IPA bediener het toegang tot die wagwoord hasse.
Die wagwoordhash van 'n gebruiker word gestoor as base64 in die “userPassword” eienskap. Hierdie hash kan SSHA512 wees (ou weergawes van FreeIPA) of PBKDF2_SHA256.
Die Nthash van die wagwoord word gestoor as base64 in “ipaNTHash” as die stelsel geïntegreer is met AD.
Om hierdie hasse te kraak:
• As FreeIPA geïntegreer is met AD, is dit maklik om ipaNTHash te kraak: Jy moet die base64 ontsluit -> dit weer enkodeer as ASCII heks -> John The Ripper of hashcat kan jou help om dit vinnig te kraak
• As 'n ou weergawe van FreeIPA gebruik word, so word SSHA512 gebruik: Jy moet die base64 ontsluit -> vind SSHA512 hash -> John The Ripper of hashcat kan jou help om dit te kraak
• As 'n nuwe weergawe van FreeIPA gebruik word, so word PBKDF2_SHA256 gebruik: Jy moet die base64 ontsluit -> vind PBKDF2_SHA256 -> die lengte is 256 byte. John kan werk met 256 bits (32 byte) -> SHA-265 word gebruik as die pseudorandom funksie, blokgrootte is 32 byte -> jy kan net die eerste 256 bits van ons PBKDF2_SHA256 hash gebruik -> John The Ripper of hashcat kan jou help om dit te kraak
Om die hasse te onttrek moet jy root in die FreeIPA bediener wees, daar kan jy die instrument dbscan
gebruik om hulle te onttrek:
HBAC-Reëls
Dit is die reëls wat spesifieke regte aan gebruikers of gasheer oor bronne toeken (gasheer, dienste, dienstegroepe...).
Sudo-Reëls
FreeIPA maak gesentraliseerde beheer oor sudo-toestemmings moontlik deur sudo-reëls. Hierdie reëls maak die uitvoering van opdragte met sudo op gasheer binne die domein moontlik of beperk dit. 'n Aanvaller kan moontlik die toepaslike gasheer, gebruikers, en toegelate opdragte identifiseer deur hierdie reëlreeks te ondersoek.
Rolgebaseerde Toegangsbeheer
'n Rol bestaan uit verskeie voorregte, elk waarvan 'n versameling toestemmings insluit. Hierdie rolle kan toegewys word aan Gebruikers, Gebruiker Groepe, Gasheer, Gasheer Groepe, en Dienste. Byvoorbeeld, oorweeg die verstek "Gebruiker Administrateur" rol in FreeIPA om hierdie struktuur te illustreer.
Die rol Gebruiker Administrateur
het hierdie voorregte:
Gebruiker Administrateurs
Groep Administrateurs
Fase Gebruiker Administrateurs
Met die volgende opdragte is dit moontlik om die rolle, voorregte en toestemmings op te som:
Aanvalscenario-voorbeeld
In https://posts.specterops.io/attacking-freeipa-part-iii-finding-a-path-677405b5b95e kan jy 'n eenvoudige voorbeeld vind van hoe om sekere toestemmings te misbruik om die domein te compromitteer.
Linikatz/LinikatzV2
Privesc
root-gebruikerskepping
As jy 'n nuwe gebruiker met die naam root
kan skep, kan jy hom impersoneer en jy sal in staat wees om SSH na enige masjien as root. DIT IS GEPATCH.
Jy kan 'n gedetailleerde verduideliking in https://posts.specterops.io/attacking-freeipa-part-iv-cve-2020-10747-7c373a1bf66b vind.
Verwysings
Last updated