AD CS Certificate Theft
Last updated
Last updated
Leer & oefen AWS Hacking:HackTricks Opleiding AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Opleiding GCP Red Team Expert (GRTE)
Dit is 'n klein opsomming van die Diefstal hoofstukke van die wonderlike navorsing van https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdf
Voordat jy kyk hoe om die sertifikate te steel, het jy hier 'n paar inligting oor hoe om te vind waarvoor die sertifikaat nuttig is:
In 'n interaktiewe lessenaar sessie kan dit maklik gedoen word om 'n gebruiker of masjien sertifikaat, saam met die private sleutel, te onttrek, veral as die private sleutel uitvoerbaar is. Dit kan bereik word deur na die sertifikaat in certmgr.msc
te navigeer, regsklik daarop te klik, en All Tasks → Export
te kies om 'n wagwoord-beskermde .pfx-lêer te genereer.
Vir 'n programmatiese benadering is gereedskap soos die PowerShell ExportPfxCertificate
cmdlet of projekte soos TheWover’s CertStealer C# project beskikbaar. Hierdie gebruik die Microsoft CryptoAPI (CAPI) of die Cryptography API: Next Generation (CNG) om met die sertifikaatwinkel te kommunikeer. Hierdie APIs bied 'n reeks kriptografiese dienste, insluitend dié wat nodig is vir sertifikaatberging en -verifikasie.
As 'n private sleutel egter as nie-uitvoerbaar gestel is, sal beide CAPI en CNG normaalweg die onttrekking van sulke sertifikate blokkeer. Om hierdie beperking te omseil, kan gereedskap soos Mimikatz gebruik word. Mimikatz bied crypto::capi
en crypto::cng
opdragte om die onderskeie APIs te patch, wat die uitvoer van private sleutels moontlik maak. Spesifiek patch crypto::capi
die CAPI binne die huidige proses, terwyl crypto::cng
die geheue van lsass.exe te teiken vir patching.
Meer inligting oor DPAPI in:
DPAPI - Extracting PasswordsIn Windows, sertifikaat private sleutels word deur DPAPI beskerm. Dit is belangrik om te erken dat die berging plekke vir gebruiker en masjien private sleutels verskillend is, en die lêerstrukture verskil afhangende van die kriptografiese API wat deur die bedryfstelsel gebruik word. SharpDPAPI is 'n gereedskap wat hierdie verskille outomaties kan navigeer wanneer dit die DPAPI blobs ontsleutel.
Gebruiker sertifikate is hoofsaaklik in die registrasie onder HKEY_CURRENT_USER\SOFTWARE\Microsoft\SystemCertificates
gehuisves, maar sommige kan ook in die gids %APPDATA%\Microsoft\SystemCertificates\My\Certificates
gevind word. Die ooreenstemmende private sleutels vir hierdie sertifikate word tipies gestoor in %APPDATA%\Microsoft\Crypto\RSA\User SID\
vir CAPI sleutels en %APPDATA%\Microsoft\Crypto\Keys\
vir CNG sleutels.
Om 'n sertifikaat en sy geassosieerde private sleutel te onttrek, behels die proses:
Kies die teiken sertifikaat uit die gebruiker se winkel en verkry sy sleutel winkel naam.
Vind die vereiste DPAPI meester sleutel om die ooreenstemmende private sleutel te ontsleutel.
Ontsleutel die private sleutel deur die platte teks DPAPI meester sleutel te gebruik.
Vir die verkryging van die platte teks DPAPI meester sleutel, kan die volgende benaderings gebruik word:
Om die ontsleuteling van masterkey-lêers en privaat sleutel-lêers te stroomlyn, bewys die certificates
opdrag van SharpDPAPI nuttig. Dit aanvaar /pvk
, /mkfile
, /password
, of {GUID}:KEY
as argumente om die privaat sleutels en gekoppelde sertifikate te ontsleutel, en genereer vervolgens 'n .pem
lêer.
Masjien sertifikate wat deur Windows in die register gestoor word by HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates
en die geassosieerde private sleutels geleë in %ALLUSERSPROFILE%\Application Data\Microsoft\Crypto\RSA\MachineKeys
(vir CAPI) en %ALLUSERSPROFILE%\Application Data\Microsoft\Crypto\Keys
(vir CNG) word geënkripteer met die masjien se DPAPI meester sleutels. Hierdie sleutels kan nie gedekripteer word met die domein se DPAPI rugsteun sleutel nie; eerder, die DPAPI_SYSTEM LSA geheim, waartoe slegs die SYSTEM gebruiker toegang het, is nodig.
Handmatige dekriptering kan bereik word deur die lsadump::secrets
opdrag in Mimikatz uit te voer om die DPAPI_SYSTEM LSA geheim te onttrek, en daarna hierdie sleutel te gebruik om die masjien meester sleutels te dekripteer. Alternatiewelik kan Mimikatz se crypto::certificates /export /systemstore:LOCAL_MACHINE
opdrag gebruik word na die patching van CAPI/CNG soos voorheen beskryf.
SharpDPAPI bied 'n meer geoutomatiseerde benadering met sy sertifikate opdrag. Wanneer die /machine
vlag gebruik word met verhoogde toestemmings, eskaleer dit na SYSTEM, dump die DPAPI_SYSTEM LSA geheim, gebruik dit om die masjien DPAPI meester sleutels te dekripteer, en gebruik dan hierdie platte sleutels as 'n soektabel om enige masjien sertifikaat private sleutels te dekripteer.
Sertifikate word soms direk binne die lêerstelsel gevind, soos in lêer deel of die Downloads gids. Die mees algemeen aangetrefde tipes sertifikaat lêers wat op Windows omgewings teikens is, is .pfx
en .p12
lêers. Alhoewel minder gereeld, verskyn lêers met uitbreidings .pkcs12
en .pem
ook. Bykomende noemenswaardige sertifikaat-verwante lêer uitbreidings sluit in:
.key
vir private sleutels,
.crt
/.cer
vir sertifikate slegs,
.csr
vir Sertifikaat Ondertekening Versoeke, wat nie sertifikate of private sleutels bevat nie,
.jks
/.keystore
/.keys
vir Java Keystores, wat sertifikate saam met private sleutels wat deur Java toepassings gebruik word, kan hou.
Hierdie lêers kan gesoek word met PowerShell of die opdragprompt deur te soek na die genoemde uitbreidings.
In gevalle waar 'n PKCS#12 sertifikaat lêer gevind word en dit deur 'n wagwoord beskerm word, is die onttrekking van 'n hash moontlik deur die gebruik van pfx2john.py
, beskikbaar by fossies.org. Daarna kan JohnTheRipper gebruik word om te probeer om die wagwoord te kraak.
Die gegewe inhoud verduidelik 'n metode vir NTLM geloofsbriewe-diefstal via PKINIT, spesifiek deur die diefstal metode wat as THEFT5 geëtiketteer is. Hier is 'n herverduideliking in passiewe stem, met die inhoud geanonimiseer en saamgevat waar toepaslik:
Om NTLM-outeentiging [MS-NLMP] te ondersteun vir toepassings wat nie Kerberos-outeentiging fasiliteer nie, is die KDC ontwerp om die gebruiker se NTLM eenrigting funksie (OWF) binne die privilege-attribuut sertifikaat (PAC) terug te gee, spesifiek in die PAC_CREDENTIAL_INFO
buffer, wanneer PKCA gebruik word. Gevolglik, indien 'n rekening autentiseer en 'n Ticket-Granting Ticket (TGT) via PKINIT verkry, word 'n meganisme inherente voorsien wat die huidige gasheer in staat stel om die NTLM-hash uit die TGT te onttrek om legacy-outeentigingsprotokolle te ondersteun. Hierdie proses behels die ontsleuteling van die PAC_CREDENTIAL_DATA
struktuur, wat essensieel 'n NDR-geserialiseerde voorstelling van die NTLM-plaktekst is.
Die nut Kekeo, toeganklik by https://github.com/gentilkiwi/kekeo, word genoem as in staat om 'n TGT aan te vra wat hierdie spesifieke data bevat, en sodoende die onttrekking van die gebruiker se NTLM te fasiliteer. Die opdrag wat vir hierdie doel gebruik word, is soos volg:
Daarnaast word opgemerk dat Kekeo slimkaart-beskermde sertifikate kan verwerk, gegewe die pin kan verkry word, met verwysing na https://github.com/CCob/PinSwipe. Dieselfde vermoë word aangedui as ondersteun deur Rubeus, beskikbaar by https://github.com/GhostPack/Rubeus.
Hierdie verduideliking sluit die proses en gereedskap in wat betrokke is by NTLM geloofsbriewe-diefstal via PKINIT, met fokus op die verkryging van NTLM hashes deur TGT verkry met behulp van PKINIT, en die nutsmiddels wat hierdie proses fasiliteer.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)